DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri https://www.difose.com.tr Her temas iz bırakır. Tue, 20 Aug 2024 08:46:14 +0000 tr hourly 1 https://wordpress.org/?v=6.1.9 https://www.difose.com.tr/wp-content/uploads/2021/01/3-1-85x85.png DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri https://www.difose.com.tr 32 32 Cookie-less Web -2 https://www.difose.com.tr/cookie-less-web-2/ Mon, 17 May 2021 08:39:06 +0000 https://www.difose.com.tr/?p=8431

Chrome’da Saklanan Kullanıcı Bilgileri ve Üçüncü Taraf Çerezlerin Yerine Kullanılacak FLoC Teknolojisi

Yazımızın birinci bölümünde genel anlamda çerezler hakkında bilgi verdikten sonra dijital reklam ekosistemini oluşturan unsurlar, üçüncü parti çerezlerin reklam amacıyla kullanılması, kullanıcıların mahremiyeti, bu konuda çıkarılmış yasal düzenlemeler ve gelecekte oluşacak durumlar hakkında bilgi vermeye çalıştım. Bu bölümde kaldığımız yerden devam edeceğim.

Öncelikle Google Chrome’da hakkımızda depolanan veriler ve bunları nasıl kontrol edebileceğimizden bahsedip, ardından Google tarafından geliştirilen ve hala deneme aşamasında olan FLoC isimli teknolojiyi anlatmaya çalışacağım.

Öncelikli olarak Google, Chrome vasıtasıyla hakkımızda hangi bilgileri saklıyor ve bu konuda herhangi bir kontrolümüz olabilir mi sorularına cevap vermeye çalışacağım. Burada bahsedeceğim verilerin hemen hemen tamamı sadece sizin tarafınızdan görülebilenlerdir ve bir kısmı da size en uygun reklamların sunulması için kullanılır. Chrome’da depolanan bu verilerle ilgili olarak ya Google’un bu verileri sorumluluk bilinciyle saklayacağına güveneceksiniz ya da Google hizmetlerini hiç kullanmayıp verilerinizi kendinize saklayacaksınız. Google’ın sunduğu hizmetleri kullanmamak seçeneği pek mümkün olmadığından üçüncü alternatif olarak depolanan veriler üzerinde kısıtlamalarda bulunarak kısmi de olsa kontrolü ele alabiliriz.

Kontrolü ele alma kapsamında başlangıç noktamız Google hesabınızdayken açacağınız “Google Etkinliğim” (https://myactivity.google.com/activitycontrols) sayfasıdır. Chrome üzerinde hesabınızla oturum açtıysanız otomatik olarak aşağıda gösterilen Google Etkinliğim sayfasına yönlendirilirsiniz. Açılan sayfada karşınıza ilk olarak gelen “Web ve Uygulama Etkinliği” bölümüdür. Bu bölümde Chrome’da hesabınızla oturum açtıktan sonra yaptığınız tüm aktiviteler kaydedilir. Ziyaret ettiğiniz web siteleri, yaptığınız aramalar, Android telefonunuzda açtığınız uygulamalara kadar birçok bilgi burada depolanır. Bu bilgilerin depolanıp depolanmayacağı, depolandıysa detaylı şekilde filtrelenip incelenmesi veya tamamen silinmesi ya da ne kadar süreyle depolanacağı gibi seçenekleri sayfa üzerinde tercihlerinize göre ayarlayabilirsiniz.

İkici bölüm “Konum Geçmişi” hakkındadır ve genellikle akıllı telefonunuzda toplanan gittiğiniz yerler hakkındaki verileri barındırır. Üçüncü bölüm “YouTube Geçmişi”, dördüncü bölüm ise “Reklam Kişiselleştirme” hakkındadır. Daha önce de belirttiğim gibi buralarda depolanan veriler üzerinde kontrol imkânınız bulunmaktadır. Bunlara ilave olarak Google hesabınız hakkındaki yukarıda anlattığım ve diğer tüm bilgilerinizi kontrol edip yönetebileceğiniz “Google Hesap” (https://myaccount.google.com) aracılığıyla da gerekli düzenlemeleri yerine getirebilirsiniz.

Google hesabınız aracılığıyla Chrome üzerinde hakkınızda depolanan veriler ve bunlar üzerindeki kontrol imkanlarınıza kısaca değindikten sonra dijital reklamcılıkta özellikle üçüncü taraf çerezlerin yerini alacak olan ve Google tarafından geliştirilen Federated Learning of Cohorts- FLoC (Kalabalıkların Birleştirilmiş Öğretimi) konusundan da bahsederek yazıyı tamamlayacağım.

FLoC, kişisel verilerin kaydedilmesi yerine makine öğrenimi kullanmak suretiyle kullanıcıları internet davranışları üzerinden gruplara ayıran bir sisteme dayanıyor. Internet kullanıcıları tarafından ziyaret edilen sitelerin türlerine göre kullanıcılar etiketlenip kümelendiriliyor.

FLoC tarayıcınızda çalışıyor ve son bir haftadaki internet tarama geçmişinize göre dünyada sizinle benzer tarama geçmişine sahip kullanıcıların olduğu bir gruba sizi atıyor. “Cohort” denilen her bir grubun kendine ait FLoC ID’si bulunuyor. Örneğin sizin bir FLoC ID’niz varsa, bunun anlamı tarayıcınız internet tarama geçmişinizi analiz ederek sizi benzer tarama geçmişine sahip birkaç bin kişilik bir gruba dahil etti demektir.

Bir bakıma FLoC ID’niz sizin davranışsal grubunuzun belirtecidir ve tarayıcınız bu ID’yi SimHash (Benzerlik Özeti) (https://ferd.ca/simhashing-hopefully-made-simple.html) denilen bir algoritmayı kullanarak hesaplar.

SimHash iki kümenin birbirine ne kadar benzer olduğunu tespit etmek için kullanılan bir algoritmadır ve hala Google Crawler tarafından kopya sayfaları bulmak için kullanılmaktadır. Google aynı algoritmayı FLoC ID’leri belirlemek amacıyla da kullanacağını duyurmuştu. Algoritma son 7 günde ziyaret ettiğiniz alan adlarını listeleyerek FLoC ID’nizi hesaplar. Ardından tarayıcınızda çalışan FLoC internet üzerinde ziyaret ettiğiniz web sitelerinden talep edenlere veya reklam şirketlerine bu ID’yi sunar. Bu ID ile bir bakıma sizin ne tür bir insan olduğunuz hakkındaki Google’ın fikri web sitelerine veya reklamcılara sunulur.

Fişleniyorsunuz veya etiketleniyorsunuz gibi bir tabir kullanmak biraz abartı olabilir ama bir bakıma kimliğiniz ibraz edilmeden bir davranış grubuna dahil edilmek suretiyle sınıflandırılmış oluyorsunuz. Mart 2021 tarihinden itibaren başlanan deneme ve test sürecinde dünya üzerindeki Chrome kullanıcıları rastgele olarak seçilip teste dahil edilmiş durumdalar. Sizin de bu test grubunda yer alıp almadığınızı 2 farklı yöntemle tespit edebilmeniz mümkün. Birincisi (https://amifloced.org) web adresine giderek aşağıdaki resimde görülen FLoC ID’nizin olup olmadığını kontrol etmek. Şayet FLoC ID’niz var ise deneme grubundasınız demektir.

İkincisi ise aşağıdaki şekilde gösterildiği biçimde Chrome/Ayarlar/Güvenlik ve Gizlilik/Özel Korumalı Alan (Chrome/Settings/Privacy and Security/Privacy Sandbox) seçeneğinin aktif olup olmadığını kontrol etmektir. Hazır bu menüye girmişken, “Çerezler ve diğer site verileri” seçeneğine de girip “üçüncü taraf çerezlerini” engelleyerek reklamların bir kısmından kurtulmanızı tavsiye ederim.

Üçüncü taraf çerezlerin ortadan kalkmasının ardından en büyük gelir kaynaklarından biri olan reklam gelirlerini devam ettirebilmek amacıyla Google tarafından geliştirilen FLoC sistemine, Electronic Frontier Foundation (EFF) (1990 yılında kurulmuş dijital dünyada özgürlükleri savunan kâr amacı gütmeyen bir organizasyon) tarafından üçüncü taraf çerezlerden daha fazla kişisel mahremiyete zarar vereceğinden bahisle karşı çıkılıyor. Ayrıca, Firefox, Brave, Vivaldi ve Opera tarayıcıları, kullanıcıların gizliliği konusunda problemlere sebep olacağı gerekçesiyle FLoC sistemini kullanmayacaklarını açıkladılar.

Google tarafındaki yetkililer ise FLoC’un anonim kalmanızı sağlayarak mahremiyetinizi koruyacağını, internet tarama geçmişinizin kimseyle paylaşılmayacağını iddia ediyor. Devam eden test ve değerlendirmelere göre geliştirilerek 2022 yılı itibariyle kullanıma geçirilmesi planlanan FLoC hakkında kimin haklı olduğu veya kimin doğruyu söylediği konusundaki kararı sizlere bırakıyorum.

Photo by Michael Dziedzic on Unsplash

The post Cookie-less Web -2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Cookie-less Web-1 https://www.difose.com.tr/cookie-less-web-1/ Mon, 17 May 2021 08:33:07 +0000 https://www.difose.com.tr/?p=8430

Üçüncü Taraf Çerezleri hayatımızdan çıkıyor…

Haber sitelerinden birinde ciddi ciddi ülkede meydana gelen önemli olayları okumaya çalışırken, arada gözüm sayfanın sağında yanıp sönen spor ayakkabılarındaki indirim reklamına gidip geliyor. Gerçekten de spor ayakkabısına ihtiyacım var. Geçenlerde bakmıştım ama fiyatlar çok pahalıydı. Gözüm ikide bir yanıp sönen reklama takılıyor. Reklamlarda gösterilen indirimin neden olduğu meraka daha fazla dayanamayıp tıklıyorum reklamın üstüne ve hooop alışveriş sitesindeyim.

Şimdi UFO gören masum köylü edasıyla “benim spor ayakkabısına ihtiyacım olduğunu o web sitesi nereden bildi de bana en son indirim reklamını gösterdi” diye soruyorum kendi kendime.

Ben soruyorum ama bu yazıyı okuyanların hemen hemen tamamının bu sorunun cevabını bildiğinden böyle bir soru sormayacaklarını da biliyorum. Evet sizlerin de çok iyi bildiği gibi o spor ayakkabısı reklamlarının özellikle bana gösterilmesinin nedeni “çerezler”, daha spesifik olarak belirtmek gerekirse “üçüncü parti çerezler”.

Bir web sitesini ziyaret ettiğinizde tarayıcınız tarafından otomatik olarak indirilen ve kaydedilen metin dosyaları olan çerezleri uzun uzadıya anlatmak gibi bir düşüncem yok. Çerezleri genel olarak;

  • Fonksiyonel çerezler (web sitesinin çalışmasında temel işlevler için gerekli olanlar),
  • Birinci taraf ve performans çerezleri (kullanıcı adı-şifre hatırlama, dil seçimi, web sitesinin sizin tercihlerinize göre kişiselleştirilmesi gibi işlemleri yerine getirenler)
  • Ve son olarak üçüncü taraf çerezleri (yazımızın konusu olan ve ziyaret ettiğimiz web sitelerinde tam da bizlere yönelik reklamların karşımıza çıkmasını sağlayanlar) olarak basit şekilde sınıflandırmak mümkün.

Nedir bu üçüncü taraf çerezleri? En basit tabirle anlatmaya çalışırsak “ziyaret ettiğiniz web siteleri haricindeki sitelerin bilgilerinizi toplayıp buna göre içerik ve reklam düzenlemesi yapmasını sağlayan ve bilgisayarınızda tutulan çerezlerdir” diyebiliriz. Başka bir ifadeyle üçüncü taraf çerezler kullanıcıların ziyaret ettiklerinin dışındaki sitelerin bilgi toplamasını ve işlemesini sağlarlar.

Herhangi bir web sitesini ziyaret ettiğinizde sayfada yer alan üçüncü parti çerezleri web aktivitelerinizi takip eder ve reklam verenlerin sizin nelere ilgi duyduğunuzu anlamalarına yardımcı olurlar. Bu şekilde de ilginizi çekecek en uygun reklamların size gösterilmesi sağlanır. İlginizi çekecek en uygun reklamları size gösterilerek bu ekosistemde yer alan markalar, reklam verenler, medya ajansları, reklam şirketleri ve içerik sağlayıcılardan web siteleri, medya sağlayıcılar ve sosyal medya platformlarına kadar tüm taraflar daha fazla gelir elde ederler.

Aşırı basit ifadelerle anlatmaya çalıştığım bu dijital reklamcılık ekosisteminin aslında milyar dolarları bulan büyük bir sektör olduğunu özellikle ifade etmekte yarar var. Şöyle ki, bağımsız denetim firması Deloitte tarafından hazırlanarak Nisan 2021 ayında yayımlanan, Tahmini Medya ve Reklam Yatırımları Raporu’na göre Türkiye’de 2020 yılı toplam reklam ve medya yatırımları tutarı 17 milyar 469 milyon TL ve bunun büyük bir kısmı dijital reklam yatırımları. Anlayacağınız haber sitesinde bana gösterilen spor ayakkabılarındaki indirim reklamlarının arkasında çok ama çok büyük bir sektör var.

Photo by Austin Distel on Unsplash

Reklamcılık ekosistemi tarafından bakıldığında gerçekten de büyük paraların döndüğü karmaşık bir sistem var, ancak olayın bir de kullanıcı tarafı, daha net bir ifadeyle kullanıcının mahremiyeti tarafı var. Çerezlerin bir bakıma kullanıcıları sessiz sessiz takip etmek amacıyla kullanılabildikleri gerçeği dikkate alındığında, temelinde faydalı olması amacıyla tasarlanan çerezlerin mahremiyet açısından sorunlar yaratabileceğini kabul etmemiz gerekiyor. Bu kapsamda özellikle üçüncü taraf çerezleriyle kullanıcılar hakkında toplanan bilgilerin içerik ve kapsamı risk olarak karşımıza çıkıyor.

Diğer yandan, web sitelerinde tutulan kullanıcı verilerinin çalındığı ve birçok kişinin kredi kartlarından kimlik ve adres bilgilerine kadar birçok bilgisinin ifşa olduğu şeklindeki haberleri artık sık sık duyar hale geldik ve bu durum normal olarak kullanıcıları endişelendiriyor. Kullanıcılar açısından bakıldığında günlük olarak kullandıkları ve hayatlarının vazgeçilmezi olan web ortamının arka planında çalışan ve birbiriyle entegre olmuş karmaşık sistemler mahremiyetleri açısından riskler barındırıyor. Durumun farkında olan yasa koyucular, ekosistem içerisinde yer alan tarafların özellikle kişisel verilerin kullanımı konusunda uymaları gereken kuralları yasalarla ortaya koymuşlardır.

Bu kapsamda, ülkemizde çıkarılan KVKK ve Avrupa’da geçerli olan GDPR ile bu kurallar belirlenmiştir. Kullanıcılara ait verilerin gizliliği hakkında yapılan bu düzenlemeler özellikle kişisel gizliliğin ve mahremiyetin öne çıktığı bir dönemi yaşadığımızı göstermeleri açısından önemlidir. Bu yasaların getirdiği en önemli konular kullanıcıların izni olmadan veri toplanmasının önüne geçilmesi ve toplanan verilerle ne yapılacağı konusunda kullanıcıların bilgilendirilmeleridir. Aşağıdaki web sayfasında da görüldüğü gibi sayfayı ziyaret eden kullanıcılar çerez kullanımı konusunda bilgilendirilirler, çerezleri kabul veya reddedebilirler ya da ayrıntılı bilgi için “Gizlilik Politikası ve Aydınlatma Metnini” okuyabilirler.

Yukarıda basit bir örneğini verdiğimiz yasal bilgilendirme konusunda geniş çaplı olarak Rıza Yönetim Sistemleri (CMP-Consent Management Platform) kullanılmak suretiyle kullanıcının kendi verilerinin kullanımıyla ilgili verdiği açık rıza kayıt altına alınır. Bu ekosistemin önemli bir aktörü olan reklam şirketleri KVKK veya GDPR gibi yasal gerekliliklere uyumlu bir şekilde CMP ile bilgilerin kullanılıp kullanılmaması konusunda kontrolü tamamen kullanıcılara verdiklerini, rıza göstermedikleri verilerin kayıt altına alınmadığını ve bunlarla nasıl işlem yapılacağı konusunda tek karar vericilerin kullanıcılar olduklarını iddia ediyorlar, ancak web sitelerini ziyaret eden kullanıcıların ne kadarlık kısmının açık rıza metnini okuduğu konusunda sizler gibi benimde bazı şüphelerim var.

Gerçekten kaçınız yukarıdaki örnekte gösterilen aydınlatma metnini veya gizlilik politikasını okuyorsunuz?

Mahremiyetin giderek daha fazla önem kazandığı günümüzde artık yasalar gereği kullanıcı onayı gerektiren çerezler-ki hemen hemen hepimiz onay veriyoruz- veya özellikle üçüncü parti çerezler olmadan ekosistemdeki tarafların gelir elde etmeleri nasıl sağlanacak? Bu noktada iki husus karşımıza çıkıyor.

  • Birincisi üçüncü taraf çerezlere gerek duymayan, birinci taraf çerezler, sosyal ağlar, e-postalar gibi ortamlardan toplanan verilerle reklam sunabilen ve çerezsiz dijital reklamcılığın geleceği olarak görülen Veri Yönetim Platformları (Data Management Platforms-DMP).
  • İkincisi de Google tarafından geliştirilen çerezlerin yerini alması planlanan Federated Learning of Cohorts- FLoC (Kalabalıkların Birleştirilmiş Öğretimi) isimli teknoloji. Fazla uzatmamak adına iki bölüm halinde yayımlamayı düşündüğüm yazının birinci bölümünü burada tamamlayacağım.

İkinci bölümde özellikle Google tarafından Chrome aracılığıyla kullanıcıları hakkında toplanan verilerle az önce ifade ettiğim FLoC konusunu anlatmaya çalışacağım.

Photo by Alina Grubnyak on Unsplash

Raif SARICA – Ankara, Turkey | Professional Profile | LinkedIn

The post Cookie-less Web-1 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Eyvah Kripto Paralarım Çalındı!! https://www.difose.com.tr/eyvah-kripto-paralarim-calindi/ Mon, 19 Apr 2021 08:31:17 +0000 https://www.difose.com.tr/?p=8297

Siber saldırganların gözü artık kripto para cüzdanlarımızda…

Photo by Stanislaw Zarychta on Unsplash
 

Peki siber suçlular ve siber dolandırıcılar eylemlerinin karşılığı olarak kripto para isterken acaba bizim kripto para cüzdanlarımıza da göz dikmiş olabilirler mi?

Photo by CardMapr.nl on Unsplash
Şükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn
Photo by André François McKenzie on Unsplash
The post Eyvah Kripto Paralarım Çalındı!! first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Sosyal Mühendislik Saldırılarına Karşı Alınacak Tedbirler https://www.difose.com.tr/sosyal-muhendislik-saldirilarina-karsi-alinacak-tedbirler/ Wed, 14 Apr 2021 12:28:54 +0000 https://www.difose.com.tr/?p=8276 Sosyal mühendislik saldırı yöntem ve tekniklerini kısa kısa anlattığım ilk üç yazının ardından, bu düzenbazlara karşı dikkat etmemiz gereken hususları maddeler halinde vererek konuyu tamamlayacağım. Şükrü Durmaz ve Erdal Özkaya ile beraber yazdığımız Sosyal Mühendislik kitabımızda kapsamlı açıklamalar ve yaşanmış örneklerle verdiğimiz hususlardan bazılarına bu yazıda değinmeye çalışacağım. Yaratıcı zekâ konusundaki sınırsız ihtimaller ve yaşanmış […]

The post Sosyal Mühendislik Saldırılarına Karşı Alınacak Tedbirler first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Sosyal mühendislik saldırı yöntem ve tekniklerini kısa kısa anlattığım ilk üç yazının ardından, bu düzenbazlara karşı dikkat etmemiz gereken hususları maddeler halinde vererek konuyu tamamlayacağım. Şükrü Durmaz ve Erdal Özkaya ile beraber yazdığımız Sosyal Mühendislik kitabımızda kapsamlı açıklamalar ve yaşanmış örneklerle verdiğimiz hususlardan bazılarına bu yazıda değinmeye çalışacağım. Yaratıcı zekâ konusundaki sınırsız ihtimaller ve yaşanmış tecrübeleri dikkate alarak, tedbir kapsamında dikkat edilmesi gereken hususlara okuyucuların da ekleyecek birçok maddesi olacağına eminim. Aslına bakılırsa maddeler halinde yazacağım hususların birkaçını dahi yerine getirmek sosyal mühendislik saldırılarının büyük çoğunluğunu bertaraf edecektir. Hadi gelin madde madde ilerleyelim dikkat edeceğimiz konularda.

  • İlk olarak üzerinde durulması ve kabullenilmesi gereken husus “düşünen” ve “hisseden” olmak üzere iki zihnimiz olduğu gerçeğidir. İnsanoğlu sahip olduğu bu iki zihni dengede tutarak mükemmele ulaşır. Ne zaman ki bu denge bozulur hatalar yapmaya başlarız. Sosyal mühendisler oynadıkları akıl oyunları ve hayali senaryolarla hırs, tutku, açgözlülük, korku, heyecan gibi duyguları tetikleyerek bunların yoğunluğunu artırır ve mantığımız yerine hissedilen duyguyla anlık tepkiler vermemizi sağlayarak bizi tuzaklarına düşürürler. Yoğunluğu artan duygular mantıksal çıkarımlar yapmamız için gerekli bilişsel yeteneklerimizi kullanmamızı engeller ve dünyayı tutkularımızın, hırslarımızın ve arzularımızın penceresinden görmeye başlarız. Pusulaya yaklaştırılan mıknatısın kuzeyi gösteren ibreyi saptırması gibi duygusal zaaflarımız, yoksunluklarımız ve doymak bilmeyen arzularımız bizim ibremizi saptırır. İşte hissettiğimiz tam da bu ruh hali sosyal mühendislerin tuzaklarına düşmemizi sağlar. Aklı, diğer bir ifadeyle düşünen zihni bir kenara koyup, hayatta kalmak üzere evrilmiş hisseden zihnin kontrolü altındayken genelde tüm sahtekârlar, yazımız özelinde ise sosyal mühendisler tarafından kandırılmaya çok müsait durumda oluruz. Bu nedenle dikkat etmemiz gereken ilk ve en önemli husus “düşünen” ve “hisseden” zihinlerimize güç birliği içerisinde çalışabilmeyi öğretmektir.

  • İkinci önemli husus duygusal farkındalık Bu farkındalık duygularımızı tanıma, anlamlandırma ve kontrol etme yeteneğini bize sunar. Farkına varılabilen, yorumlanabilen, anlamlandırılabilen ve kontrol altındaki duygular doğru kararlar vermemizi sağlar. Aksi takdirde, yoğun ve isimlendiremediğimiz duygularımızın baskısı altında kalır, stresle boğuşur ve yanlış kararlar veririz. Duygusal farkındalık düzeylerini artırabilen insanlar, daha rahat sosyalleşebilir, empati yeteneklerini, problem çözme ve değişen durumlara ayak uydurabilme esnekliklerini üst düzeye çıkarabilirler. Bu tür insanların sosyal mühendislere av olmaları çok ama çok küçük bir ihtimaldir. Bu nedenle ikinci önemli husus duygusal farkındalık düzeyimizi yüksek tutmaktır.
  • Üçüncü konu emeğimiz haricinde hiçbir şeye sahip olmadığımız bilincine sahip olmaktır. Talep edeceğiniz, sahip olmayı istediğiniz veya size vaat edilen şey harcadığınız emeğinizin ötesinde ise emin olun ortada bir sıkıntı vardır. Özellikle sahte ve yapmacık samimiyetlerin kol gezdiği sosyal medya platformlarında kimse size karşılıksız bir şey vermez. Unutmayın bedava peynir sadece fare kapanında olur
  • “Son dakika, son beş ürün, acele edin, …..tarihine kadar” gibi mesaj veya paylaşımların tuzak olduğunu aklınızın bir köşesine yazın ve bunlara her zaman şüpheyle yaklaşın.
  • Sosyal medya platformlarındaki arkadaşlarınızın çoğuyla tek irtibat noktanız bu platformlardır. Alternatif iletişim imkanınızın olmadığı kişilere karşı daha tedbirli ve şüpheci yaklaşın. Belki de o kişinin hesabı bir sosyal mühendis tarafından ele geçirildi ve siz dahil arkadaş listesindeki herkese yemleme yapılıyor.
  • Online ortamlarda değerinin çok altında yapılan satışlara şüpheci yaklaşın. Kaparo veya belli bir orandaki ödemenizden sonra satıcı sırra kadem basabilir.
  • Başkalarının isimlerini kullanarak yapılan sözde yardım toplama kampanyalarına, indirim kodlarına hediye çeklerine, kredi kartı aidatı iadesi tuzaklarına karşı uyanık olun.
  • Telefonunuza gelecek onay kodlarını kimseyle paylaşmayın. Hattınız faturalı ise faturanıza yansıyacak bir alışveriş yapılmış olabilir veya kredi kartı bilgilerinizi daha önceden ele geçirmiş biri sizin adınıza bir alışveriş yapmış olabilir.
  • Diyelim ki, merakınıza karşı koyamayıp e-posta içerisindeki veya sosyal medya paylaşımlarındaki linklerden birini tıkladınız. Tıklanan linkin bilgisayarınıza otomatik olarak zararlı yazılım yüklemesi ihtimalini sadece ifade ederek diğer ihtimallere geçelim. Tıkladınız ve bir web sayfası açıldı. Lütfen sayfadaki resimlerden, şekillerden veya formlardan ziyade ilk önce URL adresini dikkatli bir şekilde, harf harf okuyun. Unutmayın URL adresindeki bir karakterlik farklılık, tamamen bambaşka bir web adresi demektir.
  • Diyelim ki, linkin götürdüğü web sitesi sizin kontrollerinizden başarıyla geçti. Yerinizde olsam, önceden bir sanal kart oluşturup online alışverişlerimde sadece o sanal kartı kullanırım ve mümkün olması durumunda üşenmeyip 3D ödeme yöntemlerini kullanırım. Alışverişim bittikten sonra da sanal kartımın limitini sıfırlarım.
  • Unutmayın! … Siz daha yeni yeni yüzmeyi öğrenen birisiniz ve sanal dünya dev köpekbalıklarından denizanalarına kadar her türlü yırtıcının kol gezdiği tehlikeli bir dünya. Kıyıdan fazla açılmamakta sizin için her zaman bir fayda var.
  • Bu satırdan itibaren eklenecek diğer maddeleri sizlere bırakıyorum.

Sonraki yazılarda görüşmek dileğiyle sağlıcakla kalın.

The post Sosyal Mühendislik Saldırılarına Karşı Alınacak Tedbirler first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Sabit Diskimizin Arızalanması Durumunda Ne “YapMAMAlıyız!’’ https://www.difose.com.tr/sabit-diskimizin-arizalanmasi-durumunda-ne-yapmamaliyiz/ Tue, 30 Mar 2021 18:44:50 +0000 https://www.difose.com.tr/?p=8183 En değerli varlıklar sıralaması hep yıllarca döviz, altın ve mücevher  olarak belirtildi, ancak bilgisayarın icadı ve internetin yaygınlaşması ile beraber “veri” kavramı gelişti ve en değerli varlıklarımız listesinde en baştaki yerini aldı. Peki verilerimiz nerede? Bir sabit disk içerisinde Bir taşınabilir disk içerisinde Bir USB bellek ya da hafıza kartı içerisinde Bir cep telefonun içerisinde […]

The post Sabit Diskimizin Arızalanması Durumunda Ne “YapMAMAlıyız!’’ first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> En değerli varlıklar sıralaması hep yıllarca döviz, altın ve mücevher  olarak belirtildi, ancak bilgisayarın icadı ve internetin yaygınlaşması ile beraber “veri” kavramı gelişti ve en değerli varlıklarımız listesinde en baştaki yerini aldı.

Peki verilerimiz nerede?

  • Bir sabit disk içerisinde
  • Bir taşınabilir disk içerisinde
  • Bir USB bellek ya da hafıza kartı içerisinde
  • Bir cep telefonun içerisinde
  • CD/DVD/BluRay içerisinde
  • Bir ağ depolama cihazı içerisinde
  • Bulutta depola alanlarından birinde

Bu nedenle kişisel veya kurumsal bilgilerimizi elektronik olarak depoladığımız sabit diskler, USB veya taşınabilir bellekler gözümüz gibi korumamız, kullanım sırasında itina ve özen göstermemiz gereken en kıymetli varlıklarımız haline gelmişlerdir.   

Günümüzde ağ temelli ve bulutta çalışan veri depolama teknolojileri giderek popülerlik kazanmaya başlamış olmasına rağmen, kişisel ve ticari amaçla kullanılan en yaygın veri depolama birimi açık ara sabit disklerdir.

Sabit diskler, basit yapıda görünseler de dijital bilgileri manyetik alanlara depolamak için birlikte çalışan bir dizi çok hassas konumlandırılmış mekanik ve elektro manyetik bileşenden oluşurlar. Bu mekanik bileşenler, inanılmaz bir hassasiyetle çok yüksek hızlarda çalışırlar. Kişisel veya kurumsal verilerinizi depolamak amacıyla sabit disk olarak, en iyi markanın en kaliteli ürününe sahip olup azami dikkat ve özen ile kullanmanız durumunda dahi çeşitli nedenlerle veri kaybı yaşamanız ve hatta verilerinizi tamamen kaybetmeniz muhtemeldir. Örneğin, kullanım amacına ve süresine göre motor veya diğer fiziksel bileşenlerin üzerinde oluşacak stres kaynaklı yıpranma nedeniyle diskiniz zaman içerisinde arızalanabilir ya da elektronik hasar, fiziksel darbe veya diğer çevresel nedenlerden dolayı çalışmayabilir. Son olarak, hatalı kapatma, ani güç kesintisi, zararlı yazılımlar, sistem çökmeleri vb. nedenlerden kaynaklı mantıksal sorunlar nedeniyle verilerinize erişemeyebilirsiniz.

Peki, gözümüz gibi koruduğumuz ve itinalı bir şekilde kullandığımız sabit diskimiz yukarıda sıralananlar veya farklı bir nedenden dolayı arızalandı ve verilerimize bir türlü erişemiyoruz. Bu durumda verilerimizin güvenliğini sağlamak, mümkün olması durumunda geri kurtarmak ve kalıcı veri kayıplarına neden olabilecek hataları yapmamak amacıyla atılması gereken en hızlı ve önemli adım bir veri kurtarma uzmanından destek almaktır. Verilerimizi kurtarmak amacıyla uzmandan destek almadan önce ne yapmadığımız çok daha önemli olduğundan “ne yapmalıyız?” sorusundan ziyade “NE YAPMAMALIYIZ?” sorusuna cevap vermek gerekmektedir. Çünkü verilerimizi kurtarmak için bilinçsiz bir şekilde yapacağımız hatalı işlemler verilerimizin geri döndürülemez bir şekilde kaybolmasına neden olmaktadır. Bu nedenle, yapılması gerekenlerden önce veri kurtarma uzmanının yapacağı işi sekteye uğratmamak adına, yapılmaması gerekenleri maddeler halinde sizlerin bilgisine sunmak ve istedik. Gelin nedenlerini de açıklayarak birer birer ne YAPMAMAMIZ gerektiğini sıralayalım.

  • YANLIŞLIKLA VERİ SİLİNMESİ DURUMUNDA SABİT DİSKİ KULLANMAYA DEVAM ETMEK!

Bilgisayarın sabit diskinin ya da harici bir diskin yanlışlıkla ya da kasten silinmesi durumunda o diski kullanmaya devam etmek, biçimlendirmek, yeniden işletim sistemi kurmak, içerisine dosya kopyalamak, veri kurtarma yazılımı kurmak gibi işlemler veri kurtarma olasılığını olumsuz yönde etkilemekte, pek çok vakada ise imkânsız hale getirmektedir.  Her ne sebeple olursa olsun sabit diskinizden bir şey silindi ise asla bir veri kurtarma uzmanına danışmadan kulaktan duyma bilgilerle işlem yapmayınız.

  • VERİ KURTARMA YAZILIMLARIYLA DENEMELERDE BULUNMAK!

Gelişi güzel veri kurtarma yazılımlarını kullanmayınız. Özellikle veri kurtarma yazılımlarını veri kaybı yaşanan bilgisayara asla kurmayınız. Unutulmamalıdır ki, profesyonelce kullanılan veri kurtarma yazılımları çoğu zaman mantıksal sorunlar için etkili bir seçenek olabilir, ancak manyetik disk ve okuma/yazma kafası üzerindeki fiziksel hasarları ve sorunları düzeltme yetenekleri yoktur. Mantıksal bir arıza olarak yorumladığınız sorunların altında fiziksel bir arızanın veya fiziksel hasar olarak yorumladığınız sorunların altında mantıksal arızaların bulunma ihtimali olduğunu asla unutmayınız. Bu nedenle uzmanı tarafından yapılmayan bir müdahalenin geri dönüşü olmayabilir ve verilerini tamamen kaybedebilirsiniz.

  • SABİT DİSKİ ÇALIŞTIRMAYA DEVAM ETMEK!

Sabit diskiniz olağandışı sesler çıkartıyor, motoru dönmüyor ve enerji verdiğinizde tepki vermiyor ise kesinlikle çalışmaya zorlanmamalı ve derhal elektrikle bağlantısı kesilmelidir. Aksi halde diskin hassas parçalarının zarar görmesine, diskin plakalarının manyetik yüzeylerine hasarlı okuma yazma kafalarının temas etmesi sonucu buz pateni gibi çizilmesine ve neticede geri dönüşü olmayan hasarlara neden olabilirsiniz.

  • SABİT DİSK KAPAĞINI AÇMAK!

Sabit diskin içerisinde yer alan bileşenler son derece hassastır ve tamamen dış dünyadan yalıtılmış durumdadır. Sabit disklere fiziksel müdahale bu konuda uzmanlaşmış kişiler tarafından veri kurtarma laboratuvarında tozsuz ve steril bir temiz kabin içerisinde özel ekipmanlarla yapılması gerekmektedir. Temiz kabin ortamı olmadan sabit diskin kapağının açılması çok hassas olan bileşenlerin toz ve partiküllerle kirlenmesine ve neticede hasar görmesine neden olacaktır. Bu durum veri kurtarma imkanı olan pek çok sabit diskin hasar görmesine neden olacaktır. Laboratuvarlarımıza veri kurtarma amacıyla gelen pek çok sabit diskin ya sahibi ya da yetkisiz kişilerce açıldığına ve disk içerisindeki parçaların kurcalandığına sık sık şahit olmaktayız.

  • BİLİM VE AKIL DIŞI TAVSİYELERE UYMAK!

Sabit diskinizi asla dondurmayınız, ısıtmayınız ve yıkamayınız!… Bu tavsiyemiz çoğunuza biraz absürt gelebilir, ancak bu tür yaklaşımları sergileyenlere geçmiş dönemlerde şahit olduğumuzdan, burada özellikle belirtmek istedik. Sabit diski buzlukta dondurmak disk içerisinde yoğuşmaya neden olmakta ve disk içerisinde damlacıkların oluşmasına ve neticede okuma yazma kafalarının hasar görmesine neden olmaktadır. Isıtmak ise çok hassas olan disk bileşenlerinin genleşerek sıkışmasına, bazı akşamların erimesine ve diskin tam işlev kaybına sebep olmaktadır. Yıkama gibi herhangi bir mantıksal açıklaması olmayan bir fiili sanırız açıklamamıza gerek olmayacaktır. Bu bağlamda kulaktan duyma şehir efsaneleri asla itibar etmeyiniz.

  • İLKEL ONARIM METOTLARI!

Televizyon kumandamızın çalışmadığı durumlarda, kumandayı bir elle kavrayıp diğer elimizle hafif sertlikle bir iki vururuz ve genellikle de kumanda çalışır, ancak bu yöntem televizyon kumandasında her ne kadar işe yarasa da sabit disk içerisindeki hassas bileşenlere çok ciddi zararlar vererek geri dönüşü olamayan sonuçlara neden olmaktadır. Bir diske asla vurmayınız ve bir yere çarpmayınız, hele hele çalışırken asla sarsmayınız.

  • ELEKTRONİK AKSAMI KURCALAMA!

Sabit disklerin alt bölümünde bulunan yeşil veya mavi renkli devre kartlarını (PCB) asla sökmeyiniz. PCB adı verilen bu kartın üzerindeki bazı bileşenler verilerinize kavuşmanızı sağlayacak önemli anahtar parçalardır. Meydana gelmiş / getirilmiş herhangi bir arıza nedeniyle devre kartını değiştirmek başarılı kurtarma olasılığını kesinlikle azaltan bir faktördür. Bu nedenle bu kart üzerinde herhangi bir işlem yapmayınız ve benzer yapıdaki bir PCB kartı takarak deneme yapmayınız.

Patrick-Lindenberg-unsplash

Yukarıda maddeler halinde sıraladığımız “yapılmaması” gereken hususlara dikkat etmeniz, veri kurtarma uzmanın gerekli profesyonel yazılım ve donanımlarla verilerinizi kurtarma yönündeki gayretlerine katkı sağlayacaktır. Profesyonel bir hizmet aldığınızda da diskin hikayesi hakkında açık ve net bir şekilde veri kurtarma uzmanını bilgilendirmeyi de unutmayınız.

Son olarak, bilginin güç olduğu çağımızda kişisel ve kurumsal verilerimizi depoladığımız USB belleklerden sabit disklere kadar bütün depolama aygıtlarının hassas elektronik parçalardan oluştuğunu ve bunlar üzerinde yapılacak işlemlerin de aynı şekilde profesyonellik ve hassasiyet gerektirdiğini asla unutmayınız. Sonraki yazılarımızda, gerek depolama aygıtlarımıza göstermemiz gereken hassasiyet ve ihtimamı, gerekse veri kurtarma anlamında profesyonelliğin ne denli önemli olduğunu çeşitli olay ve örneklere anlatmaya devam edeceğiz.   

Yiğit Emre Çetinkaya – Data Recovery Expert – DIFOSE Digital Forensics Services LLC

Onur Saban – Data Recovery Expert – DIFOSE Digital Forensics Services LLC

 

The post Sabit Diskimizin Arızalanması Durumunda Ne “YapMAMAlıyız!’’ first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi? https://www.difose.com.tr/whatsapp-mesaj-icerikleri-sonradan-degistirilebilir-mi/ Mon, 29 Mar 2021 13:48:21 +0000 https://www.difose.com.tr/?p=8161 Akıllı cep telefonlarının hayatın hemen hemen her alanında ve anında kullanılıyor olması adli olsun ya da olmasın bir olayın ortaya çıkartılmasında birinci delil olarak kabul edilmeye başlandı. Bunun en önemli gerekçesi ise günlük hayatımızdaki pek çok önemli ve özel anların akıllı cep telefonları tarafından kaydediliyor ya da aktarılıyor olmasıdır.Türkiye’de akıllı cep telefonları ile anlık mesajlaşma […]

The post WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi? first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]>

Akıllı cep telefonlarının hayatın hemen hemen her alanında ve anında kullanılıyor olması adli olsun ya da olmasın bir olayın ortaya çıkartılmasında birinci delil olarak kabul edilmeye başlandı. Bunun en önemli gerekçesi ise günlük hayatımızdaki pek çok önemli ve özel anların akıllı cep telefonları tarafından kaydediliyor ya da aktarılıyor olmasıdır.Türkiye’de akıllı cep telefonları ile anlık mesajlaşma amacıyla en fazla kullanılan uygulama WhatsApp, Telegram, Signal, Bip gibi uygulamalardır. Son zamanlarda DIFOSE’un hem İstanbul hem de Ankara’daki adli bilişim laboratuvarlarına gelen vakalarda tarafların anlaşamadığı ya da birbirlerinin iddialarının aksini tespit ettirmek amacıyla teknik inceleme talep edenlerin sayısında artış yaşanmaktadır. Adli Bilişim, bir olayı baştan kabulü reddeder ve olayı çeşitli bilimsel deney ve gözlemlere dayanarak incelemeyi amaç edinir. Bir başka deyişle, WhatsApp uygulamasının veri tabanındaki içerik özel bazı uygulamalar ile değiştirilebiliyor ise “artık WhatsApp uygulamasının delil niteliği taşımadığını!” peşinen kabul etmek yerine, bu manipülasyonun nasıl ve ne şekilde yapıldığını tespit ederek sürece katkı sağlamak adli bilişim alanının ve adli bilişim uzmanının en önemli işi olmalıdır. Bu nedenle, DIFOSE Adli Bilişim Laboratuvarları’na gelen vakalardan el edindiğimiz tecrübelerimiz ile akıllı cep telefonlarında kullanılan anlık mesajlaşma uygulamalarının veri tabanları üzerinde üçüncü parti uygulamalarla gerçekleşmesi muhtemel suiistimaller konusunda bir çalışma yaparak toplumu bilgilendirmek ve bu alanda bir farkındalık oluşturmak amacıyla bu yazıyı kaleme aldık.Yazımızda, akıllı cep telefonlarında yer alan anlık mesajlaşma uygulamalarındaki veriler üzerinde karşılaştığımız bir suistimal örneğini bir senaryoya dayanarak canlandırmak suretiyle konuyu ele almaya çalışacağız. Senaryo kapsamında gerçekleşen suistimal olayını ortaya koyduktan sonra, piyasadan ikinci el olarak temin ettiğimiz iOS ve Android işletim sistemleri kurulu iki cep telefonunda senaryoyu baştan tekrar canlandırarak gerçeği bulmaya ve olayı bilimsel bir deney metodu ile aydınlatmaya çalışacağız. Yapacağımız bu çalışma ile WhatsApp uygulamasının veri tabanında yer alan iletişim içeriklerinin nasıl ve ne şekilde değiştirilebileceğini ortaya koyarak, halen ülkemizdeki pek çok anlaşmazlık ve uyuşmazlığa konu olan WhatsApp anlık mesajlaşma vakalarının daha sağlıklı bir zeminde değerlendirilmesine olanak sağlayacağını temenni etmekteyiz.

“Yapacağımız bilimsel deney çalışmasındaki tüm testler piyasasından ikinci el olarak temin ettiğimiz Samsung marka SM-G900FQ (Galaxy S5) model Android 4.4.2 işletim sistemli akıllı telefon ile Apple marka A1457 (iPhone 5s) model iOS 12.4.1 işletim sistemli akıllı telefon üzerinde yapılacaktır. Sonuç olarak adli bilişim incelemelerinde uygulanan bilimsel deney ve metotlar başka bir uzman tarafından da tekrar edildiğinde aynı sonucu elde edecektir.”

Örnek Senaryo

Örnek senaryomuzda; WhatsApp mesajlaşma uygulaması üzerinde müşteri ile satış temsilcisi arasında geçen yazışmayı ve devamında yapılan suiistimali inceleyeceğiz. Müşterinin cep telefonuna ait aşağıda sunulan ekran görüntüsündeki yazışmalarda; “B120CK11” barkod numaralı ürünün fiyatının 3.499 TL olduğu ve en geç 1 hafta içerisinde kapıda ödeme seçeneğiyle müşteriye ulaştırılacağı bilgisi açık bir şekilde görülmektedir.

Müşteri Cep Telefonu Ekran Görüntüsü

Açık ve net bir şekilde görülebilen bu bilgilere rağmen, söz konusu firma ürünü taahhüt ettiği zaman diliminde ve beyan ettiği bedelle göndermediği gibi ürün WhatsApp mesajlaşma uygulaması üzerinde yapılan bu sohbetin üzerinden 1 ay geçtikten sonra müşteriye ulaşmıştır. Aynı şekilde, kargo şirketi tarafından getirilen faturada fiyat bilgisi ekran görüntüsünde görülenin aksine 3.499 TL yerine 5.599 TL olarak yer almaktadır. Karşılaştığı olayda satıcıyı suçlayan müşteri tüketici hakem heyetine müracaat etmiş ve firmadan şikayetçi olmuştur. Tüketici hakem heyeti, müşterinin ve satış temsilcisinin cep telefonlarına ait bire bir kopyaların uzman bilirkişilerce incelenmesine ve ortaya çıkacak maddi gerçeğe göre hareket etmeyi kararlaştırmıştır. Görevlendirilen bilirkişi tarafından cep telefonlarına ait bire bir kopyalar üzerinde yapılan incelemede her iki telefondaki WhatsApp anlık mesajlaşma verileri detaylı bir şekilde incelenmiştir. Bilirkişi, inceleme neticesinde her iki telefonda da mesajlaşma tarih ve saatlerinin birebir aynı olduğunu, ancak fiyat bilgisi ve teslimat sürelerinin belirtildiği satırların telefonlarda farklı şekilde yer aldığını tespit edilmiştir. Şöyle ki; müşterinin cep telefonuna ait bire bir kopya üzerinde fiyat bilgisi 3.499 TL ve teslimat süresi 1 hafta iken, satış temsilcisine ait cep telefonunun bire bir kopyası üzerinde bu bilgiler 5.599 TL ve 1 ay şeklinde görülmektedir. Geri kalan tüm iletişim içerikleri birebir aynı iken sadece fiyat bilgisi ve teslimat süresinin yer aldığı satırlarda farklılık bulunmaktadır.

Peki, uçtan uca şifrelenmiş mesajlaşma özelliği sunan WhatsApp gibi bir uygulamada mesaj içeriklerindeki farklılıklar nasıl açıklanabilir? Bu tür bir tutarsızlık varken bilirkişi ve dolayısıyla tüketici hakem heyeti maddi gerçeğe nasıl ulaşabilir? Cep telefonlarının bire bir kopyalarının bilirkişi tarafından incelenmesi neticesinde ya müşterinin firmaya iftira atmış olduğu ya da satış temsilcisinin müşteriye karşı yalan söylediği anlaşılacaktır. Ancak, WhatsApp uygulaması ile yapılan anlık mesajlaşma görüşme içeriğinin hangi telefon üzerindeki veri tabanında orijinal halde olduğunun tespitini yapmadan verilecek kararın bilimsel olmayacağını belirtmek isteriz. Her iki telefonun bire bir kopyası üzerinde yapılan inceleme sonuçlarını gösteren ekran görüntüleri aşağıda sunulmuştur. Sonraki bölümde yukarıda anlattığımız senaryonun nasıl gerçekleştiğini ve iddia sahiplerinden hangisinin doğruyu söylediğini ortaya çıkarmaya çalışacağız.

Müşteriye ait Cep Telefonu

Satış Temsilcisine ait Cep Telefonu

Olayın ÇözümüYukarıda örnek olarak yazdığımız ve gerçekleşmesi muhtemel senaryoda olayın aydınlatılmasını sağlayacak maddi gerçeklere nasıl ulaşabileceğimizi ve uçtan uca güvenlik vadeden WhatsApp gibi bir uygulamada mesajlar arasındaki tutarsızlığın nasıl meydana gelebildiğini adım adım ilerleyerek ortaya koymaya çalışacağız. Yazımızın başında da belirttiğimiz gibi senaryoyu tekrar canlandırmak amacıyla üzerlerinde bir adet iOS ve bir adet Android işletim sistemleri kurulu iki adet cep telefonunu kullanacağız.Senaryoyu canlandırmak amacıyla öncelikle piyasadan temin ettiğimiz cep telefonlarını fabrika ayarlarına döndürdük ve ardından uygulama mağazalarından WhatsApp anlık mesajlaşma uygulamalarını cep telefonlarına kurduk. Müteakiben WhatsApp anlık mesajlaşma uygulamasında senaryomuzdaki mesajlaşmaları aynen yazarak karşılıklı olarak gönderilmesini sağladık. Daha sonra veri tabanları içerisinde yer alan mesajları karşılaştırdık ve aynı olduğunu gördük. Bu mesajları manuel olarak değiştirmek mümkün olmadığından üçüncü parti bir editör ile değiştirilmesinin mümkün olduğunu, ancak üçüncü parti uygulamalar ile değiştirebilmek içinse cep Android işletim sistemi kurulu telefonda Root işlemi, iOS kurulu telefonda ise Jailbreak işleminin yapılması gerektiği anlaşıldı. Çalışmamızı adım adım tamamlamak için Android yüklü cep telefonuna “Root” işlemi, iOS yüklü cep telefonuna ise “Jailbreak” işlemi yaparak cep telefonları üzerinde yönetici yetkisiyle sistem tarafından korunan dosyalara erişim hakkını elde etmiş olduk. “Root” ve “Jaibreak” işlemleri neticesinde normal şartlarda kullanıcının erişim yetkisi olmayan dosyalara erişmenin yanı sıra bu dosyalar üzerinde değişiklik yapma imkanını da elde etmiş olduk. Bu işlemlerin ardından cep telefonlarına kurduğumuz veritabanı düzenleme (edit etme) uygulamaları ile anlaşmazlığa konu anlık WhatsApp mesajlarının içeriğine eriştik. Veritabanı düzenleme uygulaması ile WhatsApp mesajlarını örneğimizde olduğu gibi elle yeniden düzenledik.

Gerek Android gerekse iOS işletim sistemleri kurulu telefonlardaki WhatsApp mesajlarında istediğimiz değişiklikleri örnek olayımızdaki gibi yaptıktan sonra her iki telefonunda ekran görüntülerini tekrar aldık. WhatsApp anlık mesajlarının ilk hali ile düzenleme uygulamasıyla değişiklik yapıldıktan sonraki halleri aşağıda ekran görüntüsü olarak sunulmuştur.

Ekran görüntülerinde de görüldüğü gibi, her iki cep telefonunda da satış fiyatı bilgisi ile teslimat süresi değiştirilmiştir. Yapılan değişiklikler veritabanı dosyası içerisindeki satırlarda yapıldığından ve bu değişikliğin sistemde herhangi bir iz bırakmaması nedeniyle cep telefonu adli bilişim inceleme yazılımlarının hangi verinin orijinal olduğunu tespit etmesi mümkün değildir. Anlık mesajlaşma WhatsApp uygulamasının sürekli kullanılıyor olması nedeniyle veritabanı dosyasının değiştirilme ve son erişim tarihleri de sürekli güncelleneceği için mesaj içeriklerinin değiştirildiği iddia edilen tarihten sonra asla kullanılmamış olmalı ki veritabanına müdahale edilip edilmediği anlaşılsın. Bu durumda; cep telefonları üzerinde “Root” veya “Jailbreak” işlemleri olup olmadığı hususu incelenmez ise her iki telefonda kurulu olan WhatsApp uygulama içeriklerinin hangisinin orijinal olduğunu anlamak mümkün olmayacaktır. Bir diğer husus ise, içeriğin değiştirilmiş olduğu düşünülen telefonda bu değişikliğin üçüncü parti bir uygulama ile yapılmak zorunda olunması nedeniyle cep telefonunda kurulu halde bulunan ya da kaldırılmış uygulamaların detaylı incelemesi olacaktır. Şayet, şüpheli telefonlardan birisi “Root” ya da “Jailbreak” yapılmış ve telefonda veritabanı içeriğini değiştirmeye yarayan üçüncü parti bir uygulama kurulu ya da kaldırılmış, diğer telefonda “Root” ve “Jailbreak” işlemi yapılmamış ve de veritabanı değiştirmeye yarayan üçüncü parti bir uygulama yüklenmemiş ise orijinal olan içeriğin tespiti mümkün olabilecek ve herhangi bir manipülasyonun yapılmadığı cep telefonunun içeriğinin doğru olduğuna kanaat getirilebilecektir.“Root” ve “Jailbreak” işlemi uygulanmış cep telefonlarında senaryomuz WhatsApp mesajlaşma uygulamasının içeriğinde değişiklik yapılabilmesinin yanı sıra cep telefonunda bulunan pek çok veri ve dosya üzerinde değişiklik yapmak mümkündür. Bu nedenle, cep telefonu adli incelemelerinde izlenmesi gereken en önemli yol, öncelikle incelemeye konu cep telefonu üzerinde “Root” veya “Jailbreak” işlemi yapılıp yapılmadığının tespit edilmesidir. Örnek olayımızda olduğu gibi bir tutarsızlık veya suiistimal olayıyla karşı karşıya kalan bilirkişinin cevabını araması gereken iki önemli soru vardır. Birincisi “Cep telefonu üzerinde Root veya Jailbreak işlemi yapılmış mı?”, ikinci soru ise “senaryomuzdaki örneğe benzer değişikliklerin yapılabileceği herhangi bir düzenleme uygulaması yüklenmiş/kaldırılmış mı?” olmalıdır. İddia sahiplerine veya taraflara ait telefonlarda yapılacak adli incelemelerde bu sorulara verilecek cevapların ardından hangi telefondaki verinin orijinal veya gerçek olduğu ortaya çıkartılabilir.

Yukarıda anlatılan senaryo ülkemizde ve globalde kullanılan en popüler anlık mesajlaşma uygulaması olan Whatsapp üzerinde gerçekleştirilmiştir. Söz konusu senaryoda anlatılan teknikte veritabanı üzerinde yapılan değişiklik söz konusu olduğu ve akıllı telefonlarda tüm uygulama verileri veritabanlarında tutulduğundan telefonda yer alan diğer uygulamalarda da (mesajlar, arama kayıtları, notlar vb.) aynı suistimalin gerçekleşmesi de söz konusudur.

Yapılan laboratuvar çalışmaları neticesinde 17.6.1 iOS işletim sistemine kadar olan iPhone X, iPhone 11, iPhone 12, iPhone 13, iPhone 14 ve iPhone 15 model cep telefonlarında Jailbreak imkanı olduğundan Whatsapp mesajlarının değiştirilmesi işleminin yapılabildiği tespit edilmiştir. Ayrıca telefonlara Jailbreak ve Root işlemi yapıldıktan sonra tekrar kaldırılabilmektedir. Kullanılan Jailbreak yöntemi ve versiyonuna göre; Jailbreak yapılıp yapılmadığına dair iz kalması ya da kalmaması durumları oluşmaktadır.

Adli bilişim laboratuvarlarımıza gelen vakalarda karşılaştığımız önemli olaylara ait teknik hususları buradan paylaşmaya devam edeceğiz.Bir dahaki yazımızda görüşmek dileğiyle esen kalınız.

Samet Yılmaz – Msc. Digital Forensic Engineer – DIFOSE Digital Forensics Services LLC | LinkedIn

www.linkedin.com/in/smtylmz
The post WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi? first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Sosyal Medya Dolandırıcılığı/3 https://www.difose.com.tr/sosyal-medya-dolandiriciligi-3/ Mon, 29 Mar 2021 11:03:42 +0000 https://www.difose.com.tr/?p=8150

Sosyal mühendislik saldırısı yöntemleri arasında son olarak sosyal medya dolandırıcılığı konusunu ele alıyoruz…

Facebook, Instagram, LinkedIn ve Twitter gibi sıklıkla kullanılan sosyal medya platformlarının araç olarak kullanıldığı bu saldırı türü, bireyselliğin ve sanal gerçekliklerin artmasına paralel olarak sosyal mühendisler tarafından tercih edilen dolandırıcılık yöntemlerinde ön sıralara geçmiştir.

Aralarında en eski olan Facebook’un 2004 yılında ortaya çıktığını düşünürsek, bundan daha 15–20 yıl önce adı sanı olmayan bu platformlar hayatımızın vazgeçilmezleri arasında sağlam bir şekilde yerini almışlardır. İnternete erişimi konusundaki kolaylıkların artması ve akıllı telefonların giderek daha da akıllanması neticesinde, gündüz elimizde gece ise başucumuzda duran akıllı (!) telefonlarımızla neredeyse günün 24 saatinde sanal dünyanın içerisindeyiz.

Gerçekten de bu derece bağımlı mıyız bu sanal ortamlara?

Cevap maalesef evet. Ülkemiz sosyal medya kullanımı bağlamında dünya üzerinde hatırı sayılır bir konuma sahip. Örneğin, Ocak 2020 verilerine göre, 37 milyon kullanıcıyla Facebook’ta dünya onuncusu, 38 milyon kullanıcı ile Twitter’da altıncı, LinkedIn’de on beşinci ve Instagram’da altıncı sıradayız[1]. Sosyal medya platformlarına olan bu derece bağımlılığımızı daha iyi görebilmek adına sahiplerinin ortaya koydukları inanılmaz çabaları ve bu konudaki etik sorunları anlatan “Sosyal İkilem (The Social Dilemma)” (https://www.imdb.com/title/tt11464826/) isimli belgesel tarzındaki filmi izlemenizi tavsiye ediyoruz.

Kredi Kartı Aidat İadesi Sahtekarlığı

Kredi Kartı Aidat İadesi Sahtekarlığı

Photo by CardMapr.nl on Unsplash

Ve daha neler neler…. Hayal gücünüzü kullanarak senaryoları artırabilirsiniz.

Photo by Karsten Winegeart on Unsplash

Photo by Rami Al-zayat on Unsplash
The post Sosyal Medya Dolandırıcılığı/3 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Fidye İsteyen Zararlılar-3 (CryptoLockers-3) https://www.difose.com.tr/fidye-isteyen-zararlilar-3-cryptolockers-3/ Mon, 29 Mar 2021 10:48:59 +0000 https://www.difose.com.tr/?p=8145

Fidye isteyen zararlılar (CryptoLockers) yazı dizimize kaldığımız yerden devam ediyoruz…

 

Siber saldırgan, siber korsan ve siber zorba olarak nitelendirilebilen bu kötü niyetli ve menfaatçi kişilerin tek amacı; önemli ve değeri yüksek kurumsal ve kişisel verilere ya sistem açıklıklarından faydalanarak ya da çeşitli siber saldırı yöntemleri (Oltalama, sosyal mühendislik v.b.) kullanarak erişmek ve bu verileri çeşitli şifreleme yöntemleri ile şifreleyip kullanılmaz hale getirdikten sonra dosyaları eski haline getirmek için fidye talep etmektir. [Bir önceki yazı için: Fidye İsteyen Zararlılar-2 (CrptoLockers-2)]

Tabi ki talep edilen fidye türü de yakalanmamak için anonim olmayı sağlayan elektronik paralarla olmakta ve bunların en başında ise kripto paraların en tanınanı BitCoin gelmektedir. Kripto paralar bu nedenle siber saldırganların ekmeğine yağ sürmekte ve suç işlemelerini teşvik etmektedir. Ayrıca tespit edilmelerini de imkansız hale getirmektedir. Bu sorunla mücadele için muhakkak bir çözüm bulunması gerekmektedir, aksi halde fidye isteyen zararlı olayları iştah kabartan bir olay olmaya devam edecektir.

Fotoğraf: https://blockpublisher.com/bitcoin-ransomware-attackers-tasted-their-own-medicine/

Bugüne kadar karşılaştığımız ve bize iletilen fidye isteyen zararlı vakalarında olayın ilk tespiti genelde aksayan bir hususun araştırılması neticesinde oluyor.

Muhasebe yazılımının çalışmaması, lojistik ve sevkiyat uygulamalarının çalışmaması, cari işlemlerle ilgili dosyalara ve uygulamalara erişememe gibi sorunlar olayın ilk belirtileri olarak karşımıza çıkmaktadır. Ancak, böyle bir olayla karşılaşınca hemen hemen her kurum ve kuruluş kendince bir keşif yapıyor, kendi bilgi ve görgüsüne göre çeşitli müdahaleler yapıyor ve neticede herkesin başına ilk kez gelmesi nedeniyle bir çuval incirin berbat olmasına neden oluyor. Burada özellikle ifade edilmelidir ki bir siber olaya müdahale ancak ve ancak siber olay müdahalesinde uzman kişiler ve uzman bir ekip tarafında yapılmalıdır. Aksi halde geri dönüşü imkansız sonuçlara katlanmak zorunda kalınmaktadır.

Fotoğraf: https://www.cybersafesolutions.com/insights/the-key-components-of-cyber-incident-response

Fidye isteyen zararlı vakası ile karşılaşıldığında yapılması ve yapılmaması gerekenleri buradan tek tek yazmak isterdik, ancak bu yazıları saldırganların da okuyor olmasından dolayı maalesef burada anlatmayacağız. Tıpkı yıllar önce şifreleme amacıyla kullanılan yazılımlardaki açıklıkları kullanarak verileri kurtardığımızı söylediğimizde ya da verileri şifrelenmiş bilgisayardaki “Volume Shadow” kopyalara erişerek kurtardığımızı çeşitli sosyal medya platformlarındaki sorulara cevap olarak belirttiğimizde saldırganların bu paylaşımları fark edip yöntemlerini değiştirmesine neden olmuştu. Bu nedenle, saldırganlarla mücadelede daha dikkatli olmak zorundayız.

  • Saldırganlar ele geçirdikleri sistemde kalıcılığı sağlamak amacıyla çeşitli uygulamaları sisteme yerleştirmekte, sistem açılışında (startup/boot) bu uygulamaların otomatik olarak çalıştırılmasını sağlamakta ve diledikleri zaman sisteme erişme hakkı elde etmiş olmaktadır.
  • Sisteme girer girmez ise ilk yaptıkları iş ise, yönetici yetkisine sahip bir kullanıcı açmak ve varsayılan yönetici hesabını fark edilmemek için o andan itibaren kullanmamak.
  • Sonrasında ise çeşitli tarama uygulamaları ile ağı taramak, diğer sunucu ve bilgisayarları tespit etmek ve en önemlisi ise sistemlerin yedeğinin alındığı ortamları tespit etmek amacıyla yoğun çalışmalar yapmaktadırlar.
  • Ve nihayetinde, kurum ve kuruluşlara ait sistemdeki en kritik verileri (muhasebe, yönetim, lojistik, sevkiyat, üretim v.b.) kırılması nerede ise imkansız şifreleme yöntemleri ile şifrelemektedir.

Verileriniz şifrelenince ilk aklınıza ne gelir?

  • Tabi ki, sistem ve verilerin yedekleri (backup). Saldırganlar da bunu bildiği için ve ülkemizde de maalesef yedekleme konusu sadece sistem çökmesi düşünülerek online yedekleme yöntemi ile yapıldığından sistemlere takılı halde bulunan her türlü veri depolama aygıtı içerisinde yer alan tüm dosyaları da şifreleyerek erişilmez hale getirmekte, son olarak silinmiş alanları ve sistem kayıtlarını da kurtarılamayacak şekilde özenle silerek “BununOku.txt” şeklinde notunu bırakıp sistemden ayrılmaktadırlar.

Fotoğraf: https://www.nytimes.com/wirecutter/reviews/best-network-attached-storage/

Siber saldırganların sevmedikleri yedekleme sistemleri de var ⭐ ️Özellikle ağ üzerinde yedekleme amacıyla kullanılan NAS ya da DAS adı verilen sistemlere erişmeleri her zaman kolay olmamaktadır. Ancak, bize iletilen pek çok vakada gördüğümüz üzere büyük bir çoğunluk NAS ve DAS ağ depolama aygıtlarını herhangi bir parola sormadan doğrudan sunucu üzerinden doğrudan erişilebilir olarak ayarlaması nedeniyle bu da saldırganların işini kolaylaştırmaktadır. Ancak yine de saldırganların;

  • NAS ve DAS sistemlere erişemeyen saldırganların bu sistemlerin marka, model ve işletim sistemi sürümünü özel tarama imkanları ile öğrendiklerini,
  • Her ne kadar verilere erişip şifreleme işlemini gerçekleştiremeseler de, kapatılmayan sistem açıklıklarını veya yapılmayan firmware güncellemelerini suistimal ederek, RAID yapısını bozarak ve hatta birkaç farklı RAID kurulumu gerçekleştirmek suretiyle verileri erişilmez hale getirerek mağdurları fidye ödemeye zorladıkları örneklere de rastladık.

Bu konuyu gerçek bir olay ile açıklayayım. Son zamanlarda çalıştığımız bir vakada;

  • 8 sabit diski bulunan ve RAID 5 yapılandırılmış bir ağ depolama aygıtındaki (NAS) verilerin ve yedeklerin saldırganlar tarafından şifrelenememesi nedeniyle RAID yapısının birkaç kez değiştirilmek suretiyle bozulduğunu fark ettik.
  • NAS cihazı içerisindeki 8 sabit diski çıkartıp bire bir olarak kopyaladık ve veri kurtarma laboratuvarımızdaki uzmanlarımızın emek ve çabaları ile bir hafta içerisinde saldırganlar tarafından şifrelenen verileri yazmış olduğumuz özel bir script sayesinde %100 olarak kurtarıp, mağdur şirketi saldırıya maruz kaldığı güne geri döndürmeyi başardık.

Ancak, bu her zaman bu kadar kolay olmamaktadır. Bu nedenle, ağ depolama aygıtı siber saldırıya maruz kalan kurum ve kuruluşun konusundaehil uzmanlara müracaat etmesi ve veri kurtarma konusunda deneyimli uzmanların RAID sistemler üzerinden veriyi kurtarılabilmesi mümkün olmaktadır.

©DIFOSE

Son olarak ifade etmeliyim ki, ne kadar tedbir alırsanız alın, her an bir siber saldırı mağduru haline gelebilirsiniz. Dolayısıyla böyle bir saldırıyı ön görüp gerekli siber güvenlik tedbirlerini almalı ve bu tedbirlerin uygulanıp uygulanmadığını sürekli denetim ve gözetim yapmalısınız.

Unutmayın ki saldırganların erişemeyeceği dosya ve sistem yedekleri hayat kurtarır. Bu nedenle sadece çevirim içi yedek değil, çevirim dışı yedek almak ve bunu bir plan dahilinde sistematik bir şekilde yapmak karşılaşılan bir siber saldırıyı en az zararla atlatmanıza yardımcı olacaktır…

Güvenli, güzel ve aydınlık günler dileklerimle esen kalınız.

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn
Photo by FLY:D on Unsplash
The post Fidye İsteyen Zararlılar-3 (CryptoLockers-3) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Sosyal Mühendislik/2 https://www.difose.com.tr/sosyal-muhendislik-2-2/ Mon, 29 Mar 2021 10:38:36 +0000 https://www.difose.com.tr/?p=8139

Sosyal mühendislik konulu yazı dizisi devam ediyor…

Daha önce başladığımız sosyal mühendislik konumuza kaldığımız yerden devam edeceğiz. Bir önceki yazımda SMS Yemleme konusuna kadar ele almıştım. Bu yazımda da ülkemizde en sık görülen sosyal mühendislik saldırısı olan telefon dolandırıcılığı konusunu anlatmaya çalışacağım. Bu arada Erdal OZKAYA ve Şükrü DURMAZ’la kaleme aldığımız Sosyal Mühendislik kitabımızda, konunun bütün yönleriyle ve gerçek hayattan alınmış birçok örnekle beraber ele alındığını tekrar belirtmek istiyorum.

Telefon Dolandırıcılığı (Phone phishing-Vishing)

Photo by Devin Kaselnak on Unsplash

Sosyal mühendislik saldırılarının bir versiyonu olan telefon dolandırıcılığı ülkemizde en sık kullanılan yöntemlerin başında gelir. Bu teknikte, teknolojinin sağladığı imkânlarla telefon numaralarını taklit (spoofing) ederek, sosyal mühendisler hedeflerini ne kadar mantıksız olursa olsun talimatlarına uymaları yönünde ikna etmeye çalışırlar. Oluşturdukları senaryolara göre bazen polis, savcı veya herhangi bir devlet görevlisi olurlar, bazen de bir çağrı merkezi çalışanı. Bazen hesaplarınız terör örgütü mensuplarınca ele geçirilmiş olur bazen de bankanın şanslı müşterisi veya yapılan bir çekilişte kazanan şanslı müşteri olursunuz.

Telefon dolandırıcılığı yöntemini kullanan sosyal mühendisler taklit ettikleri kişi veya kurumlara göre itinayla seçilmiş cümleler sarf edip, hedefleri üzerinde stres, şaşkınlık veya aç gözlülük gibi duyguları yoğun bir şekilde yaratarak onları mantıklı düşünme sürecinin dışına çekerler ve insanların mantıklarından ziyade duygularıyla anlık tepkiler vermelerini sağlarlar.

Hepimizin bildiği gibi duygu yoğunluğu arttıkça mantıksal düşünme ve çıkarımlar için kullandığımız bilişsel yetilerimizi kısmi olarak kaybederiz. Duygular ne kadar yoğun olursa, mantıksal çıkarım için kullanacağımız kaynaklar da o derece sınırlı olur.

Kavga esnasında ağzınızdan dökülen cümleleri aklınıza getirin.. Sakinleşip olan biteni ve sarf ettiğiniz sözleri düşündüğünüzde söylediklerinize çoğu zaman pişman olursunuz, ancak kızgınlık ve öfke duyguları üst düzeyde olduğundan pişman olacağınız kelimeleri kullanmamanız gerektiğini kavga anında düşünemezsiniz. O anda kontrol neredeyse tamamen mantıksal düşünceden sorumlu beyin kabuğunda (serebral korteks) değil duygularımızdan sorumlu limbik sistemde, daha da özele inmek gerekirse amigdaladadır. Bu nedenle duygusal yoğunluğun üst düzeyde olduğu anlarda ağzımızdan çıkanlara, tavır ve davranışlarımıza dikkat etmemiz lazım.

Aslına bakılırsa zihnimiz hisseden ve düşünen zihin olmak üzere iki parçadan oluşur. Normal şartlarda bu iki zihin koordineli çalışarak bizi mükemmele ulaştırır. Ne zaman ki biri diğerine baskın olmaya başlar, bizler de hata yapmaya başlarız.

Tamamen mantık devreye girdiğinde bilgisayar veya elektrik devreleri gibi sadece var-yok veya 0 ve 1 olur hayatımızda. O zaman da duygusuz robottan farkımız kalmaz. Tamamen hisseden zihnimiz kontrolü ele aldığında ise gerçeklerden uzaklaşıp daha çok hayatta kalma odaklı dürtülerimizle hareket etmeye başlarız.

Âşık olduğunuz kişiyi düşünün. Ne kadar hatası veya eksiği olursa olsun, o kişi sizin gözünüzde melektir. Gerçek bu mudur? Tabi ki hayır, o da sizin benim gibi oksijen alıp karbondioksit veren karbon bileşenidir sadece ama biz bu gerçeği geri plana atarak hormonlarımızın tamamen kontrolü ele alıp, o kişiyi bizim gözümüzde melekleştirmesine izin veririz. Mutluluk kimyasalları dediğimiz dopamin (ödül), endorfin (vücudun doğal morfini), serotonin (saygı) ve oxitosin (aitlik, bağ kurma, güven) hormonları ona karşı duygu ve düşüncelerimizi şekillendirir.

Neticesi korku, endişe, stres ve acı olan kortizolden kurtulup hayatta kalmamız amacıyla evrilmiş olan bu mutluluk hormonlarına yönelik karşı koyamadığımız bağımlılığımızı beslemeye çalışırız. Burada birkaç satırla özetin özetinin özetini yazdığım sosyal mühendisliğin psikolojik boyutunu yazımın başında verdiğim kitabımızda altmış sayfalık ayrı bir bölüm olarak kapsamlı bir şekilde anlattık. İnsanlık tarihinin başlangıcına gidip gelişmiş frontal korteksi sayesinde dünya hakimiyetini ele geçiren Homo Sapiens’i ve sahip olduğu bilişsel ve duygusal yetenekleri tek tek ele aldık.

Bunların yanı sıra sosyal mühendislerin bizlere evet dedirtebilmek amacıyla kullandıkları ikna ve etkileme teknikleri de onların taleplerini absürt olsa dahi yerine getirmemizi sağlar. Ayrıntılarını bir bölüm halinde kitabımızda ele aldığımız ikna ve etkileme prensiplerini maddeler halinde verelim.

  • Açık bir amaca sahip olma

  • Samimiyet ve güven

  • Etrafla uyumlu olma

  • Esnek olma

  • Kendisinin farkında olma

  • Karşılıkta bulunma

  • Tutarlılık

  • Toplumsal kanıt

  • Sevgi

  • Kıtlık

  • Hale-Boynuz Etkisi

  • Otorite

  • Doğal olma

  • Bilgili olma

  • Açgözlülükten kaçınma

  • Yağcılık

  • Yanlış beyanatlar kullanma ve yapay cehalet

  • Dinleme ve destek çıkma

Son olarak gerek telefon dolandırıcılığı gerekse diğer sosyal mühendislik saldırılarının bu derece etkili olmasına neden olan başka önemli bir faktörü daha burada sizlerle paylaşmak istiyorum. Basın yayın yoluyla vatandaş üzerinde oluşturulan yanlış algılar. Televizyonlarımızda gösterilen film ve dizilerin çoğunluğu ya direk Amerikan yapımı ya da birebir taklit edilen Türk dizileri.

Photo by HIZIR KAYA on Unsplash

O dizilerde polisin, savcının tavır davranışlarına bakan insanımızın aklında tamamen farklı bir polis imajı oluşuyor. Örneğin, reyting rekorları kıran “Hekimoğlu” dizisini ele alalım. İzleyenler bilirler, son bir aydır Mahir isimli bir komiserin Hekimoğlu’na yapmadığı kalmadı. Amerikan versiyonundan birebir kopyalandığından Mahir komiser ağzında nikotin sakızı hastane koridorlarında dolaşıp soruşturma yürütüyor. Bir bakıyorsunuz Orhan Hoca’nın reçete yazma yetkisini iptal ettiriyor, baka hesaplarını donduruyor, gizlice Hekimoğlu’unun evine gidip arama yapmak adına her tarafı alt üst ediyor ve daha neler neler. Bu sahnelerin çoğunun gerçek dışı olduğunu, ülkemiz kanunlarına göre bu tür şeylerin yapılamayacağını, polis teşkilatımızda sözde komiser Mahir benzeri itici tiplerin veya bu tür yetkilerinin olmadığını hayatında polis veya savcıya işi düşmemiş birine saatlerce anlatsanız da dizideki kadar etkili olmayacaktır.

Polis Vazife ve Salahiyetleri Kanunu veya Ceza Muhakemeleri Kanununu mecbur kalmadığımız sürece okumadığımız gerçeğiyle birleştirildiğinde, halkımızın birçoğunun kafasındaki polis tiplemesi dizilerdeki Amerikan versiyonu oluyor.

Ardından SMS’ler veya kamu spotlarıyla vatandaşı bilgilendirme çabalarının tamamı boşa gidiyor ve vatandaşımız telefonun diğer ucundaki sahtekârların talimatlarını sorgulamadan harfiyle yerine getiriyor.

 

Telefon dolandırıcılığı konumuzu burada tamamlıyoruz. Bir sonraki yazımda sosyal medya dolandırıcılığı ve bu dolandırıcılık tuzağına düşmemek için sosyal medya platformlarıyla oluşturulan bu sanal dünyada nelere dikkat etmemiz gerektiğini anlatmaya çalışacağım.

 

The post Sosyal Mühendislik/2 first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]> Fidye İsteyen Zararlılar-2 (CryptoLockers-2) https://www.difose.com.tr/fidye-isteyen-zararlilar-2-cryptolockers-2/ Mon, 29 Mar 2021 09:26:39 +0000 https://www.difose.com.tr/?p=8128   İlginç örnek olaylar ile fidye yazılımlara müdahale… Geçen haftaki yazımda fidye isteyen zararlıların (CryptoLockers) kurum ve kuruluşları nasıl hedef aldığını, bu saldırılarda kullanılan yöntem ve yaklaşımları anlatmıştım. Bu hafta ise, ülkemizde hemen hemen her gün karşılaştığımız siber olaylardan birisi hakındaki farkındalığı artırmak amacıyl aörnek bir olay üzerinde bu tür bir olaya nasıl müdahale edildiğine […]

The post Fidye İsteyen Zararlılar-2 (CryptoLockers-2) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]>  

İlginç örnek olaylar ile fidye yazılımlara müdahale…

Geçen haftaki yazımda fidye isteyen zararlıların (CryptoLockers) kurum ve kuruluşları nasıl hedef aldığını, bu saldırılarda kullanılan yöntem ve yaklaşımları anlatmıştım. Bu hafta ise, ülkemizde hemen hemen her gün karşılaştığımız siber olaylardan birisi hakındaki farkındalığı artırmak amacıyl aörnek bir olay üzerinde bu tür bir olaya nasıl müdahale edildiğine değineceğim. (Konuyla ilgili ilk yazım: Fidye İsteyen Zararlılar (CrptoLockers)

Kurum ve kuruluşlar sistemlerinin çalışmadığını ya bir personelden duyarlar ya da iş akışında yaşanan bir problemin tüm faaliyetleri etkilemesi nedeniyle haberdar olurlar. Şimdi aklınıza onlarca siber güvenlik çözümü geldiğini tahmin ediyorum: Anti-virüs, anti-malware, uç kullanıcı güvenlik sistemleri (EDR), SIEM, SOAR, IPS, IDS, DLP, firewall…Tıpkı bir askeri birliğin savunma amacıyla sahip olduğu silahlar gibi, tank, top, uçaksavar, GTT, havan, roketatar, bomba atar, tüfek… Peki saldırgan kışlaya her gün gelen bir erzak arabasının içerisinde silahlı ve teçhizatlı olarak geliyor ve siz bu aracı nasıl olsa her gün geliyor diye girişte kontrol etmiyorsanız? Ya da saldırganlar kışlanın aracını ele geçirip nizam karakolundaki yetersiz güvenliği geçip içeri elini kolunu sallayarak girmiş ise?Evet o kadar çok ve farklı senaryo anlatılabilir ki.

Pandemi nedeniyle son bir yılda fidye zararlısına maruz kalan şirket sayısı fark edilebilir oranda arttı. Hem de alınan onca siber güvenlik önlemlerine rağmen.

Bir Pazar sabahı kahvaltımı yaparken telefonum çaldı. Çok yakından tanıdığım bir arkadaşım arıyordu. Telefonda bahsettiğine göre bir yakının fabrikasındaki tüm bilgisayar sistemleri durmuş ve çalışamaz hale gelmiş. Önce sistemlerde bir hata ya da sorun olduğundan şüphelenmişler. Ancak bir süre sonra fabrikanın en önemli yazılım sistemi olan ERP’nin (Enterprise Resource Planning-Muhasebe, Lojistik, Sevkiyat, Satın Alma, Proje ve Risk Yönetimi… çalışmaları için hazırlanmış yazılım) çalışmadığını, ERP yazılımının tüm dosyalarının şifrelenmiş, uzantılarının değiştirilmiş olduğunu fark etmişler ayrıca masaüstüne bir not bırakılmış olduğunu da görmüşler. Notta, bir e-posta adresi belirtilmiş ve bu e-posta üzerinden iletişim kurulması isteniyormuş.

Bu haber üzerine, zaman geçirmeden hızlıca siber olay müdahale ekibimizle bir araya geldik, laboratuvardaki SOME kitlerimizi hızlıca hazırlayıp olay yerine hareket ettik. Firmanın BT yöneticisi ile kısa bir toplantı yaptıktan sonra sistem merkezine geçip siber saldırıya maruz kalan sunucu ve bilgisayarlardan olaya çözmemize imkan sağlayacak verileri toplamak için planlama yaptık.

Bu tür olaylarda en büyük sorun resmin tamamını görememek ve saldırıya uğramış ya da kirletilmiş bilgisayarları tespit etmektir.

Hele bir de şüpheli sistem sayısı 20’den fazla ise o zaman ciddi bir iş yükü ile karşı karşıya kalırsınız. Klasik adli bilişim yöntemleri artık devre dışı kalır, disk ya da RAM imajı almak, şüpheli sistemleri bu imajlar üzerinden tespit etmek hem zor hem de çok zaman alan bir sürece sizi zorlar.Bu vakaların her geçen gün artması bizleri siber olay müdahalesinde daha hızlı ve etkili çözümler kullanmaya zorlamaktadır.İşte tam da bu noktada yardımımıza Binalyze firmasının geliştirdiği Binalyze AIR (Otomatik Siber Olay Müdahale Aracı) yetişti. Binalyze AIR yönetim konsolunu bir bilgisayara iki dakika içerisinde kurup, kurumsal ağdaki tüm bilgisayarların (170 adet) RAM imajı dahil toplam (150)’den fazla artifact ve delil dosyalarını hash değerleri hesaplanmış bir şekilde bir saatten daha az bir sürede otomatik oluşturulan bir rapor ile toplamayı başardık.Fidye zararlısına maruz kalan ilk sunucuyu tespit ettiğimizde, şifrelenen dosyaların uzantılarını diğer bilgisayarlar üzerinde aramak suretiyle toplam (6) sunucu ve (3) bilgisayarın saldırgan tarafından ele geçirildiğini ve bu bilgisayar ve sunucular ile bunlara bağlı veri yedekleme aygıtlarının tamamının sabit disklerinin şifrelenmiş olduğunu tespit ettik.

Enfekte olan (6) sunucu ve (3) bilgisayar derhal ağdan izole edildi, akabinde registry ve olay günlüğü analizi, artifact analizini tamamlayıp tüm olayları bir zaman çizgisi üzerinde sıraladık. Bu çaptaki bir vakada Binalyze AIR sayesinde yaklaşık bir saat içerisinde sonucu görebilmek muazzam bir deneyim olmuştu.Yaptığımız tespite göre saldırgan fabrikanın sistemine yaklaşık (2) ay önce sızmış;

  • Bu iki ay içerisinde fabrikanın sistemlerini anlamak, fabrikadaki cari işleri tespit etmek ve fabrikayı fidye ödemeye zorlayacak en can alıcı noktayı tespit etmek amacıyla çeşitli çalışmalar yapmış.
  • Bu çalışmaları yaparken ilk ele geçirdiği sisteme bilgi toplama yazılım setlerini kopyalamış ve tek tek çalıştırarak ağdaki bilgisayar ve diğer sistemlerin envanterini tespit etmiş.
  • İlk etapta muhasebe ve lojistik sevkiyat bilgilerinin yönetildiği ERP yazılımının olduğu sunucuya girmiş, bu sunucudaki tüm dosyaları şifrelemiş, sonrasında sunucunun yedeğinin alındığı NAS yedekleme ünitesini şifrelemiş.
  • Sunucudaki daha önceki uzak masaüstü erişim kayıtlarını kontrol ederek uzak masaüstü bağlantıları tek tek denemiş, otomatik olarak eriştiği (kullanıcı adı ve parola tanımlı) sistemleri tek tek ele geçirerek tüm dosyalarını şifrelemiş.
  • Ağda tüm sistemleri yedekleme amacıyla kullanılan (8) disklik bir NAS cihazı tespit etmiş, ancak çeşitli sistem açıklıklarını zorlamasına rağmen içindeki verilere erişememiş. Ancak, NAS cihazının çok eski bir firmware’e sahip olduğunu görmüş ve internet üzerinde yaptığı araştırmada tespit ettiği bir zafiyeti kullanarak NAS cihazının RAID 5 yapısını bozup, RAID 0 haline getirerek sistem yedeklerini kullanılmaz hale getirip fidye notunu bırakıp bağlantıyı kesmiş.

Peki, saldırgan fabrikanın ERP yazılım sunucusuna nasıl girmişti?Hangi yöntemi kullanmıştı?

Saldırganın ele geçirdiği sunucunun tüm kayıtlarını hızlı bir şekilde inceledik ve soruların cevaplarını bulmaya başladık. Aslında saldırgan fabrikanın sunucusunu hacklememiş, sunucuya yasal olarak erişme hakkı bulunan ve firewall’dan giriş izni verilmiş IP adresini kullanan ERP yazılımını üreten firmanın teknik destek biriminin kullandığı IP adresi ile fabrikanın ERP sunucusuna giriş yapmış. (NOT: ERP yazılımı üretici firma pek çok müşterisinin kendi üzerinden hacklendiğini öğrenir öğrenmez, olayda kullanılan sunucuyu formatlamış olması nedeniyle saldırganların IP adresi tespit edilemedi. Bu durum da gösteriyor ki siber olaya müdahale ancak ve ancak yetkili ve bilgili uzmanlarca yapılmalıdır. Aksi halde bir çuvar incirin berbat edilmesi çok basittir!)Bu durum net olarak gösteriyor ki, saldırgan öncelikle ERP yazılım firmasını hacklemiş ve firmadaki teknik destek olarak kullanılan bir sistem üzerinden fabrikanın ERP sunucusuna çok rahatça erişmiş ve bu sunucu üzerinden uzak masaüstü yetkisi otomatik tanımlı olan diğer sunucu ve bilgisayarları da hackeleyerek fabrikanın tüm BT altyapısını çalışmaz hale getirmişti. Bu rahatlık sayesinde yaklaşık (2) ay fabrikanın keşfini yapmış ve fabrikayı fidye ödemeye zorlayacak tüm işlemleri yaparak ele geçirdiği sisteme not bırakıp ayrılmış.Gelecek hafta, bu fabrikanın verilerini (10) Bitcoin talep eden saldırgana 5 kuruş ödemeden nasıl kurtardığımızı ve bu olaydan çıkarılması gereken dersleri sıra ile anlatacağım. Haftaya görüşmek üzere esen kalın dostlar…

Sükrü DURMAZ – Ankara, Turkey | Professional Profile | LinkedIn

 

The post Fidye İsteyen Zararlılar-2 (CryptoLockers-2) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.]]>