SMB Anonim Oturumla Nasıl Sömürülür?

                                                             Tuğcan Özel, Sızma Testi Uzmanı

SMB Nedir?

Server Message Block (Sunucu İleti Bloğu), sunucu istemci (server-client) arasındaki iletişimi sağlayan bir ağ protokolüdür. SMB protokolü, Windows sistemlerinin 139 ve 445 portlarını kullanarak, paylaşılan dosyalara erişimi, ağlar, yazıcılar ve çeşitli bağlantıları sağlar. Bu bağlantıların yanında oplock, dosya ve kayıt kitleme, dosya ve dizin değişikliği gibi işlemler de SMB üzerinden gerçekleşmektedir.

Kullanılan Araçlar

Nmblookup – TCP/IP üzerinden NetBIOS isimleri hakkında bilgi toplamaktadır.
Smbclient – FTP protokolü gibi SMB paylaşımlarına erişmeye yaramaktadır.
Smbmap – Host üzerindeki paylaşıma açık dosyaları ve izinlerini göstermektedir.
Nmap – Scriptleri ile genel bir tarayıcıdır.
Rpcclient – Kullanıcı tarafındaki MS-RPC fonksiyonlarını çalıştırmaya yaramaktadır.
Enum4Linux – Çeşitli SMB fonksiyonlar

Host İsimleri Hakkında Bilgi Toplama

Nmblookup – A [IP]
- A parametresi, IP adresine göre bilgi toplamamıza izin vermektedir.

Dizin Listeleme

Smbmap –H [ip/hostname]
-H parametre host ismi veya ip adresimi belirtmemizi istemektedir.

Eğer kimlik bilgileri ele geçirilirse, erişim sağlanması için aracımız şu şekilde kullanılabilmektedir.

Smbmap –H [ip] –d [domain] –u [user] –p [password]

Smbclient –L \\[ip]
             -L parametresi ilgili hosttaki dizinleri getirmektedir.

Nmap  --script –smb-enum-shares –p 139,445 [ip]
-script smb-enum-shares -> smb hakkında bilgi toplamak için çalıştırılan bir scripttir.

            -p 139,445 ilgili portları belirtmektedir.

Smbmap –H [ip/hostname] belirli kimlik bilgileri ile veya null oturum ile dizinlerde neler gerçekleştirilebileceği hakkında bilgi vermektedir.
Rpcclient –U “” –N [ip]

-U “” null oturumlar anlamına gelmektedir.

-N parola yok anlamına gelmektedir.(No password)

Bu noktadan itibaren rpc komutları çalıştırılabilmektedir.

NULL Oturum Kontrolü

Smbclient //[ip]/[dizin_adı] şeklinde host üzerindeki dizine kimlik bilgileri yollanmadan erişilmeye çalışılmaktadır. Erişim sağlanırsa NULL session meydana gelmektedir.

Zafiyet Kontrolü

Nmap –script smb-vuln* -p 139,445 [ip]

--script smb-vuln* smb zafiyetleri ile ilgili bünyesinde barındırdığı tüm scriptleri çalıştıracaktır.

-p 139,445 smb portları

GENEL TARAMA

Enum4Linux –a [ip]

-a host hakkındaki bütün(all) bilgileri toplamamıza yaramaktadır.

Çıktı çok uzun olmakta, özet olarak ifade edilirse:

Nmblookup’a benzer host çıktıları

Otomatik Null oturum kontrolü

Dizinleri listeleme

Domain bilgileri

Password politikaları gibi bilgiler elde edinmektedir.

ÖZET

Hostname bilgi toplama

 nmblookup –A [ip]

Dizin Listeleme

Smbmap –H [ip/hostname]

Smbclient –L \\[ip]

Nmap –script smb-enum-shares –p 139,445 [ip]

Null Oturum Kontrolü

Smbmap –H [ip/hostname]

Rpcclient –U “” –n [ip]

Smbclient //ip/dizin_adı

Zafiyet kontrolü

 nmap –script smb-vuln* -p 139,445 [ip]

Genel Tarama

 enum4Linux –a [ip]

Sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kr00k Nedir, Tehlikeleri Nelerdir?

Kr00k Nedir, Tehlikeleri Nelerdir?

Kübra Eskalan, Sızma Testi Uzmanı

Kr00k-CVE-2019-15126, ESET güvenlik şirketi tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir. Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.

Broadcom üretimi Wi-Fi antenlerinde bu güvenlik açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.

Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin doğasında  bulunan  “Bağlantıyı kesmek” veya ” Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır. Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.

ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar tarafından okunabilir hale gelmektedir.

Bu açıklıkta dikkat edilmesi gereken en önemli nokta ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.

Kimler Etkilendi, Ne Yapılmalı?

ESET araştırmacıları tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. Araştırma sonuçlarına göre kr00k, henüz yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler, dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de etkilenmiştir.

Bilinen savunmasız cihazlardan bazıları şunlardır:

·         Amazon Echo 2. nesil

·         Amazon Kindle 8. nesil

·         Apple iPad mini 2

·         Apple iPhone 6 , 6S , 8 , XR

·         Apple MacBook Air Retina 13 inç 2018

·         Google Nexus 5

·         Google Nexus 6

·         Google Nexus 6S

·         Samsung Galaxy S4 GT-I9505

·         Samsung Galaxy S8

·         Xiaomi Redmi 3S

Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında herhangi bir zafiyet bulunmadığı belirtilmiştir.

Bu güvenlik açığından korunabilmek adına telefonlar, tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi, yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir

Wifi kablosuz ağ  güvenlik testini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kaynaklar

https://en.wikipedia.org/wiki/Kr00k

https://www.eset.com/tr/kr00k/

SIZMA TESTLERİNDE EN ÇOK KARŞILAŞTIĞIMIZ AÇIKLIKLAR «2018» 

Kemal AYDIN, Kıdemli Sızma Testi Uzmanı [TSE]

Teknolojinin gelişmesi ile beraber hayatımızı teknoloji ile beraber şekillendirmekteyiz. Teknolojide ortaya çıkan değişiklikler insanların yaşam ve iş rutinlerini değiştirmek için motivasyon sağlamaktadır. Örneğin internet üzerinden alışveriş yapmak, yemek siparişi vermek, ofise gitmeden uzaktan çalışmak gibi durumlar hayatı kolaylaştırmakta ve benzer durumlar hayatın her alanında karşımıza çıkmaktadır.  Hayatımıza “akıllı” kavramının girmesiyle beraber hayat kalitemizin arttığı yadsınamaz bir gerçektir.  Ancak bu akıllı cihazlar herkes tarafından kolay kullanılabilir olması ve kolay kurulum yapılabilmesi adına en düşük güvenlik önlemleri ile karşımıza gelmektedir. Son kullanıcı bu noktada birçok şeyden habersiz bu ürünleri kullanmaya devam etmektedir. Bu durum kişilerin ve kurumların mahremiyetini ve güvenliğini tehlikeye atmaktadır.

Kısaca, bir şey insanların hayatını ne kadar kolaylaştırıyor ise o ölçüde güvenliğini tehdit etmektedir. Aynı durum kurumlar için de fazlasıyla geçerlidir. Örneğin kurumlar çalışanlarına esnek çalışma ortamı sağlayabilmek adına VPN teknolojisi ile çalışanlarını kendi kurum ağına dahil edebilmektedir. Ancak burada gerekli güvenlik tedbirleri alınmaz ise kurumlar için büyük risk oluşturacaktır. Bunun gibi örnekler çoğaltılabilir. 

Sızma testleri bir kurumun, bilgi teknoloji sistemlerine bir saldırgan bakış açısıyla sızma girişimleri için yapılan testlerdir. Sızma testinde belli senaryolar dahilinde testler gerçekleştirilir. Saldırganın kurum çalışanı olması (içeriden yapılan saldırı) veya saldırganın kurum ağına gerçekleştirmiş olduğu fiziksel erişim gibi senaryolar bunlara örnek olarak verilebilir. Dışarıdan içeriye sızmalarda ise sosyal mühendislik testleri büyük önem taşımaktadır. Oltalama testleri bu yapıda önemli bir paydaya sahiptir. Bu vektörler dışında web ve mobil uygulamalar üzerinden de hem sistem hem de sistemde kayıtlı kişilere ait bilgiler ele geçirebilmektedir. Güvenliğiniz en zayıf halkanız ile doğru orantılı olacağı için tüm erişim noktalarından uygun testlerin yapılması, kurumların siber uzayda güvenlik seviyesinin farkında olması adına çok önemlidir.  

Biz de BTYÖN olarak 2018 yılında yaptığımız testlerde en çok karşılaştığımız bulguları derleyip paylaşmak istedik. Bu sayede kurumların kendi sistemlerinde bu zafiyetlerin bulunup bulunmadığını test edebileceğine inanmaktayız. Böylelikle kurumlar sistemlerini daha güvenliği hale getirip saldırı tehditlerini azaltabileceklerdir.

Yaptığımız analizi paylaşmadan önce yapılan testlerin içerikleri hakkında bilgi vermek faydalı olacaktır. 

1.  AĞ VE SİSTEM ALTYAPILARI TESTLERİ

1.1.  DIŞ AĞ & DMZ TESTLERİ

İnternet üzerinden gerçekleştirilen güvenlik denetimlerde kuruma ait ve dış dünyaya açık olan sistemlerin güvenlik denetimleri gerçekleştirilmektedir. Gerçekleştirilen denetimlerin bir kısmı aşağıda verilmiştir.

•  Müşteri sistemlerine ait pasif bilgi toplama yöntemleri ile kurum hakkında bilgi toplanır.
•  Hedef sistemler üzerinde çalışan servisler, sürümleri ve bu sürümlere ait zafiyetler tespit edilir.
•  Hedef sistemler üzerinde bulunan servislerin hatalı yapılandırılmalarına bağlı zafiyetler tespit edilir.
• Tespit edilen bütün zafiyetler istismar edilerek kanıtlar toplanır, hedef sistemlerde erişim elde edilmeye çalışılır ve elde edilen erişimlerin yetkileri yükseltilmeye çalışılır.

1.2.  İÇ AĞ TESTLERİ

Sunucu ve İstemci Testleri

Yerel ağ üzerinde, kapsam dâhilinde tutulan istemci ve sunuculara yönelik gerçekleştirilen testlerdir. Bu kategoride hedef sistemler tespit edilir. Hedef sistemler üzerinde açık olan portlar ve bu portlar üzerinde çalışan servisler tespit edilir. Bu servislerin sürümleri ve mevcut sürümleri için zafiyetleri tespit edilir. Hatalı yapılandırma ve sürüm bazlı zafiyetler istismar edilerek saldırganların sistemlere verebileceği zararlar analiz edilir. Ele geçirilen sistemler aracılığı ile diğer sistemlere ve ağlara yönelik zafiyetler tespit edilir.

Kurum ağında bulunan farklı sunuculara yönelik farklı testler gerçekleştirilmektedir. Kapsam dâhilinde bulunan sunuculara yönelik ticari ve açık kaynak otomatize araçlar ile zafiyet analizinin yanında güvenlik ekibimizce geliştirilen araçlar ile de manuel testler gerçekleştirilmektedir.

DNS Sunucu Testleri

Bir kurumun ağ yapısında, DNS sunucuları son derece önem taşımaktadır. IP adreslerinin kullanım zorluğunu ortadan kaldıran DNS sunucularında da çeşitli zafiyetler bulunabilmektedir.

Hatalı yapılandırılmış DNS sunucuları aracılığı ile kurum ağ yapısı hakkında bilgi toplamak mümkün olabilmektedir.

Bu test kategorisinde kullanıcıların farklı sistemlere istekleri dışında yönlendirilebilmelerine olanak verebilen zafiyetler gibi saldırganlara yetkisiz erişim izni oluşturabilecek zafiyetler test edilmektedir.

E-mail Sunucu Testleri

Bu kategoride kapsam dâhilinde bulunan mail sunuculara yönelik testler gerçekleştirilmektedir. Son yıllarda kurumlara yönelik saldırıların önemli bir oranı mail sistemleri üzerinden son kullanıcıyı hedef alacak şekilde gerçekleştirilmektedir.

Hatalı veya eksik yapılandırılmış mail sunucu, saldırganların zararlı içerik gönderimine, yetkisiz mail gönderimine, güvenilir olmayan sistemlerden zararlı mail gönderimine vs. olanak sağlamaktadır.

Bu test kategorisinde mail sistemleri ticari araçlarla ve manuel yöntemlerle test edilmektedir. Mail sunucularının ve mail güvenlik sistemlerinin son kullanıcıları saldırılara karşı koruma yetenekleri test edilmektedir.

Veri Tabanı Güvenlik Testleri

Veri tabanı sistemleri bir kurumun en hassas sistemleridir. Veri tabanı sistemlerinde de yapılandırmaya, kullanılan sürümlere ve istemci olarak bağlanıp verileri yöneten sistemlere bağlı olarak zafiyetler bulunabilmektedir. Bu zafiyetler, saldırganların veri tabanına yetkisiz bir şekilde erişebilmesine, istemci ile sunucu arasındaki veri iletişimini değiştirebilmesine, veri tabanı sunucusunu ele geçirmesine sebep olabilmektedir.

Bu kategoride gerçekleştirilen testlerde veri tabanı sunucuları detaylı testlere tabi tutulmaktadır.

Ağ Cihazı Testleri

Bu kategoride kapsam dâhilinde tutulan ağ cihazlarına (switch, router vs.) yönelik zafiyet analizleri ve sızma testleri gerçekleştirilmektedir. Hatalı veya eksik yapılandırılmış ağ cihazlarında bulunan zafiyetlerin istismarı ile kullanıcılar gitmek istemedikleri sitelere yönlendirilebilir, şifreli trafikleri araya girilerek elde edilebilir.

VoIP Teknolojisi Ürünleri Testleri

Kurum bünyesinde kullanılan VOIP sistemlerinde zafiyetler bulunabilmektedir. Hatalı veya eksik yapılandırılmış veya güncelleme eksiklikleri bulunan sistemlerin kullanılması ile saldırganlar kullanıcıların konuşmalarını kaydedip ortam dinlemesi gerçekleştirebilir, kullanıcılar adına sahte kimliklerle arama gerçekleştirebilir ve aradaki şifreli trafiği çözerek konuşma kayıtlarını elde edebilirler.

Buna benzer saldırılara karşı zafiyet analizleri için ticari ve açık kaynak yazılımlar ile otomatize ve manuel testler gerçekleştirilir.

1.3.  KABLOSUZ AĞ TESTLERİ

Kablosuz ağlara yönelik saldırılar ile kablosuz ağ parolasını elde etmek, kullanıcılara yönelik saldırılar gerçekleştirebilmek mümkündür. Hatalı veya eksik yapılandırılmış kablosuz ağlar üzerinden kuruma ait diğer ağlara da saldırılar gerçekleştirmek mümkün olabilmektedir. 

Bu kategoride gerçekleştirilen güvenlik denetimlerde kurum tarafından kapsam dâhilinde tutulan kablosuz ağ sistemlerine yönelik sızma testleri gerçekleştirilmektedir.

2.  WEB UYGULAMA TESTLERİ

Kurum tarafından belirli işlevleri yerine getirmek üzere yapılandırılmış web uygulamaları, dış ağ üzerinden herkes tarafından erişilebilir olduğu için güvenliğinin sağlanması son derece önemlidir. Bir web uygulaması üzerinde çalıştığı sunucunun ele geçirilmesine, bir sunucunun ele geçirilmesi tüm kurum sistemlerinin ele geçirilmesine olanak sağlayabilir.

Kurum Web uygulamalarına yönelik gerçekleştirilen testler OWASP yönergelerine uygun olarak gerçekleştirilmektedir. Web uygulamalarına farklı kullanıcı profilleri ile erişim sağlanabildiği için farklı profillerde güvenlik denetimleri gerçekleştirilmektedir.

Testlerin gerçekleştirildiği profiller aşağıda verilmiştir.

• Anonim kullanıcı: Bu kullanıcı profilinde kullanıcının hedef sistem üzerinde herhangi bir yetkisi bulunmamaktadır.
• Yetkisiz kullanıcı: Bu kullanıcı profili uygulama üzerinde sadece yetkisiz bazı işlemleri gerçekleştirebilen fakat uygulama üzerinde değişiklik gerçekleştiremeyen kullanıcı profilidir.
• Yetkili kullanıcı: Bu kullanıcı profili uygulama üzerinde bazı yetkili işlemleri gerçekleştirebilmektedir. Uygulamanın mimarisine göre birden fazla yetkili kullanıcı profilleri olabilmektedir. 

Uygulama güvenliği testlerinde yetkisiz kimselerin yetkili işlemleri gerçekleştirebilme girişimleri de canlandırılmaktadır. Yetkili bir kullanıcının gerçekleştirdiği tüm işlemler yetkisiz bir kullanıcı ile de gerçekleştirilmeye çalışılmaktadır. Bu tür yetki aşımı girişimlerine dikey yetki yükseltme girişimleri denilmektedir. Aynı şekilde yetkisiz bir kullanıcının başka bir kullanıcıya ait alanlara erişememesi gerekmektedir. Bu tür yetki aşımı girişimlerine ise yatay yetki aşımı girişimleri denilmektedir.

3.  MOBİL UYGULAMA TESTLERİ

Kurumun mobil kullanıcılarına yönelik hazırladığı mobil uygulamalarda da çeşitli zafiyetler bulunabilmektedir. Mobil cihazlar için hazırlanan uygulamalar ve sunucu tarafında mobil uygulamalar için hazırlanan servislere yönelik gerçekleştirilen sızma testleri gerçekleştirilmektedir. OWASP yönergelerinin ve sızma testi ekibi tarafından hazırlanan kontrol listelerinin uygulandığı bu test kategorisinde tüm saldırı senaryoları test edilmektedir.

4.  SOSYAL MÜHENDİSLİK TESTLERİ

Bu güvenlik denetimleri kategorisinde testler direk olarak kurum çalışanlarına yönelik gerçekleştirilmektedir. Bir kurumun güvenlik zincirinin en hassas ve kırılgan noktasını çalışanlar oluşturmaktadır. Bu yüzden kurum çalışanların da güvenlik farkındalığının yüksek olması gerekmektedir. Çalışanların farkındalığını test etmek için kullanılan yöntemler, oltalama saldırıları ile çalışanlardan hassas bilgi elde etme yöntemleridir.

Oltalama yöntemleri olarak telefon yoluyla ya da mail yoluyla testler gerçekleştirilmektedir. Kurum tarafından gerçekleştirilen isteğe bağlı olarak testler mail yoluyla, telefon yoluyla veya her ikisiyle gerçekleştirilmektedir.

Testler personellerden, hassas bilgileri elde etmek için hazırlanmış sahte senaryolarla gerçekleştirilmektedir. Senaryolar personellerin sık kullandığı sistemlere benzetilerek ve çalışanları endişeye sevk edecek şekilde hazırlanmaktadır.

5.  DoS & DDoS SERVİS SONLANDIRMA TESTLERİ

Kurum sistemlerinin dışarıdan erişilebilmesi için yapılandırılan servisler, sunucuların ve ağ yapısının sınırlarından ve hatalı yapılandırılmalarından dolayı hizmet veremez hale getirilebilmektedir. Bu test kategorisinden kurum dış ağı üzerinden çok yoğun oranlarda isteklerde bulunarak sistemlerin hizmet veremez hale geldiği eşik değerleri tespit edilmektedir.

• TCP SYN FLOOD: Hedef sistemlere TCP -SYN bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerinin kaynağını tüketip masum isteklere cevap veremez hale getirilmesidir.
• TCP ACK FLOOD: Hedef sistemlere TCP-ACK bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerin masum isteklere cevap veremez hale getirilmesidir.
• MIXED FLAG FLOOD: Hedef sistemlere birden fazla TCP bayrağının seçilmiş paketlerin gönderildiği saldırı çeşididir. Bu saldırılarda uygulamalar önünde konumlandırılan sistemlerin kaynaklarının tüketilmesi hedeflenmektedir.
• ICMP FLOOD: Hedef sistemlere ICMP paketlerinin gönderilerek hedef sistemlerin diğer masum isteklere cevap veremez hale getirilmesidir.
• UDP FLOOD: Hedef DNS sunucu sistemlerine yapısı değiştirilmiş paketlerinin gönderilerek, hedef sistemlerin DNS isteklerine cevap veremez hale getirilmesidir.
• DNS FLOOD: Hedef DNS sunucu sistemlerine yönelik aşırı miktarda DNS isteklerinin gerçekleştirilerek, sistemlerin diğer masum DNS isteklerine cevap verilemez hale getirilmesidir.
• HTTP GET FLOOD: Hedef web uygulamalarına yönelik HTTP-GET istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.
• HTTP POST FLOOD: Hedef web uygulamalarına yönelik HTTP-POST istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.

6.  En Çok Karşılaşılan Açıklıklar

Yapılan testlerde elde ettiğimiz verilere göre Ağ ve Sistem Altyapılarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 1 Ağ ve Sistem Altyapıları

• MS17-010 güvenlik bülteni ile yayınlanan SMBv1 üzerine gönderilen bazı isteklerin yanlış değerlendirilmesi sonucu özel paketler ile yetkisiz bir biçimde uzaktan kod çalıştırılması durumu ortaya çıkmaktadır.  Saldırganlar ağda bulunan SMBv1 koşturan Windows işletim sistemlerini hedef alarak özel hazırlanmış paketleri ilettiğinde uzak sunuculara ve istemcilere erişim sağlayabilirler. Bu durumda uzaktan komut çalıştırılabilir ve akabinde bilgi ifşası yaşanabilmektedir.
• SNMP (Simple Network Management Protocol) servisi, önceden belirlenmiş sistem bilgilerine uzaktan erişebilmeyi sağlayan bir yönetim servisidir. SNMP servisi versiyon 3 öncesi kullanımlarda, sistem bilgilerine erişimde sadece bir topluluk ismi kullanmaktadır. SNMP servisi topluluk isminin kuruma özel kullanmak yerine ön tanımlı olarak (public, private, cisco) kullanılması yetkisiz kimselerin sistem hakkında bilgi toplamasına imkan sağlamaktadır.
• Telnet, cihazların uzaktan yönetimi için kullanılan bir protokoldür. Telnet protokolü ile gerçekleştirilen bağlantılar ağ üzerinden şifrelenmeden gerçekleştirilmektedir. Aynı ağda bulunan saldırganlar tarafından oturum bilgilerinin dahil tüm trafiğin elde edilmesi mümkündür.
• Anonim kullanıcı için tanımlanan FTP hizmetinde kullanıcılar sadece “anonymous” kullanıcı adı ile parola kullanmaksızın dosya transferi gerçekleştirebilmektedirler. Bu zafiyetin saldırganlar tarafından istismarı ile dosya sunucu üzerinde bulunan verilerin ifşası ve sunucuya zararlı yazılım yüklenmesi gerçekleşebilir.
• Dropbear çoklu güvenlik zafiyetleri sömürülerek; kullanıcı adı ve parola tanımlamasında kaynaklanan bir metin formatı zafiyeti sebebiyle, giriş yapmamış bir kullanıcı sistem üzerinde root hakları ile komut çalıştırabilir. Ek olarak OpenSSH anahtar dosyalarının yönetiminden kaynaklanan bir zafiyet sebebiyle, sistemde giriş yapmamış bir saldırgan uzak komut çalıştırabilir. 

Yapılan testlerde elde ettiğimiz verilere göre Web Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 2 Web Uygulamaları

• Web uygulamalar geliştiriliyorken güvenliğin sağlanması adına bazı önlemlerin alınmış olması önemlidir. Örneğin HTTPOnly bayrağı işaretlenmemiş çerezlerin kullanımı sonucu, son kullanıcılara yönelik gerçekleştirilebilecek XSS saldırıları ile geçerli oturum bilgiler elde edilebilmektedir. Çerezlere güvenli bayrağı (Secure) atandığında, tüm çerez bilgileri SSL protokolü ile gönderilmeye zorlanır. Güvenli bayrağı atanmamış çerezler, araya girme saldırıları (man in the middle attack-MITM) sonrasında önemli bilgilerin ifşası söz konusu olabilmektedir.
• Web uygulamalar geliştiriliyorken kullanılan JavaScript veya jQuery kütüphanelerinin güncel olması web uygulamanın güvenliği için yüksek önem taşımaktadır. Güncel olmayan sürümlerde uzaktan komut çalıştırmaya varan ciddi zafiyetler oluşabilmektedir. 
• Web uygulamaların CAPTCHA kullanılmayan kimlik doğrulama panelleri, kaba kuvvet (brute force) saldırılarına karşı savunmasızdırlar. Saldırganlar bu zafiyeti istismar ederek geçerli hesap bilgilerine erişebilmeyi başarabilirler.
• Web uygulamalarda bazı hassas bilgilerin (kullanıcı adı, parola vs.) şifresiz kanallar aracılığı ile iletilmesi sistemi kullanan kişiler için zafiyet arz etmektedir. Saldırganların başarılı bir araya girme saldırısı (man in the middle attack-MITM) ile bu hassas bilgilerin elde edilebileceğine dikkat edilmelidir.
• Web uygulamada bulunan formları otomatik olarak gönderilmesi zafiyet oluşturabilmektedir. Proxy sunucu ile araya giren saldırgan, sistem üzerinde sonsuz kayıt oluşturabilir. Bu da veri tabanının kayıt limitinin aşılarak devre dışı kalmasına sebep olabilir. Sistemin veri bütünlüğünü bozarak işlevsiz hale gelmesine sebep olabilmektedir.

 

Yapılan testlerde elde ettiğimiz verilere göre Mobil Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.

Grafik 3 Mobil Uygulamaları

• Jailbreak/root yapılmış cihazlarda zararlı yazılım olma ihtimali jailbreak/root yapılmamış cihazlara göre çok daha yüksektir. Bu sebepten ötürü uygulamalar Jailbreak/root yapılmış bir cihaz üzerinde çalışıyorsa kullanıcının bu durumunun riski hakkında bilgilendirilmesi önerilmektedir.
• SSL Pinning yapılmadığı durumlarda saldırgan, cihaza kendi oluşturduğu SSL sertifikasını yükleyerek sunucu ile istemci arasındaki trafiği çözebilmektedir. Bu zafiyet yazılımın kendine yapılan isteklerde beklediği geçerli SSL sertifikasını tanımamasından ve saldırgan tarafından oluşturulmuş sertifikayı kabul etmesinden kaynaklanmaktadır.
• Uygulamaların "Log" dosyalarında hassas veri barındırması durumunda zafiyet oluşmaktadır. Cihaza fiziksel veya uzaktan erişen saldırgan log dosyalarını inceleyerek son kullanıcıya ait hassas verilere erişebilecektir. Ele geçirdiği bu hassas veriler ile uygulamaya giriş yapabilecektir.
• Cihaz içerisindeki SQLite dosyalarında uygulamaya ait hassas veriler depolandığı noktalarda zafiyet oluşmaktadır.  Cihaza fiziksel veya uzaktan erişim sağlayabilecek saldırgan bu bilgiler sayesinde hassas ve kişisel bilgilere ulaşabilmektedir. 
• Uygulama kaynak kodu okunabilir şekilde geri dönüştürüldüğünde uygulamanın iç işleyişi ile ilgili bilgiler saldırgan tarafından elde edilebilmekte ve uygulamanın analizi kolaylaşmaktadır.

 

Yapılan testlerde elde ettiğimiz verilere göre Sosyal Mühendislik Testlerinde başarı dağılımı aşağıdaki gibidir. Sonuçlar mail ile oltalama saldırısının benzer senaryolar ile uygulanması ile elde edilmiştir.

Grafik 4 Şüpheli Bağlantıya Tıklama Oranları

Grafikten de anlaşıldığı üzere test yapılan kullanıcıların yarısından fazlası ilgi çekici içeriğe aldanarak açma eğilimindedir. Saldırganlar insani zafiyetlerden faydalanarak sistemler üzerinde erişim sağlayabilirler. Bu da bilgi teknolojileri sistemlerini risk altında bırakmaktadır. 

Grafik 5 Şüpheli Bağlantıdan Açılan Formu Doldurma Oranları

İkinci grafik ise ilk grafikte şüpheli linke tıklayan kullanıcıların önüne gelen formda kişisel bilgileri talep edilmektedir. Burada kullanıcıların %60 gibi ciddi bir çoğunluğu kişisel bilgilerini veri toplayanın kaynağına dikkat etmeden paylaşmışlardır. 

Bu tarz saldırıların önüne geçebilmek adına alınabilecek en iyi önlem kurum çalışanlarını konu hakkında bilinçlendirmek için farkındalık eğitimleri verilmesidir.

7.  Sonuç

Kurumların bilgi teknolojileri sistemlerinin dış dünyaya karşı durumunu öğrenebilmeleri ve açıklıklara karşı önlem alabilmeleri için periyodik olarak sızma testi yaptırmaları önerilmektedir. Ancak bu süreçte sadece sızma testi yeterli olmayabilir. Dış dünyaya karşı hazırlıklı olmak için gelen güncelleme ve düzeltmelerin takibi, sistemlerin bakımı ve kullanılmayan servislerin kapatılması güvenli kalabilmek adına büyük önem taşımaktadır.

Sistemler ne kadar güvenli olsa da bilgi güvenliğinin en zayıf halkası olan insani zafiyetler unutulmamalı, çalışanlara belli periyotlarda farkındalık eğitimi verilmelidir.

Siz de güvenli kalabilmek adına ilk adım olarak paylaştığımız en çok karşılaşılan açıklıkların sistemlerinizde bulunup bulunmadığını kontrol edebilirsiniz.

 Sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Yeni Sürüm ISO/IEC 20000-1 yayınlandı. ISO/IEC 20000-1:2011 ve ISO/IEC 20000-1:2018 standardı karşılaştırması aşağıdadır.

En son 2011 yılında yayınlanan ISO/IEC 20000-1 Bilgi Teknolojileri Servis Yönetim Sistemi gereklilikler standardının yeni sürümü Eylül 2018 ayında yayınlandı. Ülkemizde 23 kuruluşun¹ akredite olarak sahip olduğu bilgi teknolojileri servis yönetim sistemi standardı ile ilgili ana değişiklikler aşağıda özetlemiştir.

• ISO tarafından tüm yönetim sistemleri için kullanılan üst seviye yapıya (Annex SL) uyumlu hale getirilmiştir. Bu güncelleme organizasyonun içeriği, hedefleri gerçekleştirmek için planlama, risk ve fırsatları belirlemek için faaliyetler gibi yeni zorunluluklar getirmiştir.
• Servis yönetimi alanındaki trendleri dikkate alarak güncellemeler gerçekleştirilmiştir. Örneğin bir çok tedarikçinin yönetilerek tek elden servis entegratörü olarak hizmet verme yaklaşımı, servislerin tercih edilmesinde tek kriterin fiyat olması (emtialaşma) yaklaşımı, sunulan servislerin değerinin belirlenmesi vb.
• Bazı bağlayıcı gereklilikler (örneğin kapasite planı) standarttan çıkarılmıştır. Bu sayede işletmelere gereklilikleri sağlamak için esneklik sağlanmıştır. İşletmeler gereklilikleri sağlamak için ne yapılması gerektiği konusunda özgür bırakılmıştır.
• Bilgi birikimi (knowlegde) ve servislerin planlanmasına yönelik yeni gereklilikler tanımlanmıştır.
• Daha önce bir arada ele alınan bazı konular parçalanmıştır.
• Olay ve istek yönetimi, olay yönetimi ve istek yönetimi olarak,
• Servis sürekliliği ve erişebilirlik yönetimi, servis sürekliliği ve servis erişebilirliği olarak,
• Servis seviyesi yönetimi, servis seviyesi ve katalog yönetimi olarak,
• Kapasite yönetimi, kapasite yönetimi ve talep yönetimi olarak ikiye bölünmüştür.
• “Diğer taraflarca işletilen süreçlerin yönetişimi” maddesi “Servis yaşam döngüsünde yer alan tarafların kontrol edilmesi” olarak yeniden adlandırılmıştır.
• Standartta yer alan tüm servislerin veya süreçlerin bir başka kuruluş tarafından gerçekleştirilmesi halinde standarda uyumluluk iddia edilemeyeceği eklenmiştir.
• Terim ve tarifler kısmı yönetim sistemi terimleri ve servis yönetimi terimleri olarak ikiye ayrılmıştır.
• Üst seviye yapıya uyumlu olmak için yeni terimler eklenmiştir.
• Servis sağlayıcı terimi kuruluş olarak yeniden adlandırılmıştır.
• İç grup terimi iç tedarikçi, tedarikçi terimi dış tedarikçi olarak yeniden adlandırılmıştır.
• Bilgi güvenliği tanımı ISO/IEC 27000 ile uyumlu olmak için tekrar tanımlanmıştır. Erişebilirlik kavramı bilgi güvenliğinde yer alan erişebilirlik ile karışmaması için servis erişebilirliği olarak yeniden düzenlenmiştir.
• Dokümante edilmiş bilgi gereksinimleri azaltılmıştır.
• Kapasite planı oluşturma zorunluluğu kaldırılmıştır ve kapasite planlama faaliyeti olarak tanımlanmıştır.
• Erişebilirlik planı oluşturma zorunluluğu kaldırılmış ve servis erişebilirlik ihtiyaçları ve hedeflerinin dokümante edilmesi zorunluluğuna indirgenmiştir.
• Konfigürasyon yönetimi veritabanı zorunluluğu kaldırılmış ve onun yerine konfigürasyon bilgilerinin tanımlanmasına yönelik ihtiyaçlar tanımlanmıştır.
• Sürüm politikası gereksinimi kaldırılmıştır. Onun yerine sürüm türleri ve sıklığının tanımlanması gereksinimi gelmiştir.
• Sürekli iyileştirme politikası gereksinimi kaldırılmıştır. Onun yerine iyileştirme fırsatlarını belirleme kriterlerini oluşturma zorunluluğu gelmiştir.
• Servis raporlamaları ile ilgili detaylı raporlama gereksinimleri azaltılmıştır. Kuruluşun kendi ihtiyaçlarına göre oluşturmasına yönelik maddeler eklenmiştir.

Özet olarak ISO/IEC 20000-1 standardı servis yönetimi alanında gerçekleşen yenilikleri dikkate alarak güncellenmiş ve her boyutta firmada daha kolay uygulanabilir hale getirilmiştir. Dokümantasyon yükünün azaltılması ve konun özü olan işin yapılmasına odaklanılması standartta yer alan en önemli değişikliklerdendir. Yeni sürüm ISO/IEC 20000-1 standardının ISO tarafından tanımlanan üst seviye yapı ile uyumlu olması diğer yönetim sistemi ile entegre işetilmesini daha kolay hale getirmektedir.

Kaynaklar

1)      https://apmg-international.com/product/isoiec-20000 (aktedite belge sahibi firmalar.)

2)      ISO/IEC 20000-1 2018 BT Servis Yönetimi Gereklilikler Standardı

Nesnelerin İnterneti'nin Güvenliği

Giriş, Teknoloji ve İnternet

“Citius, Altius, Fortius” Latince “Daha hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz. Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.

Belki de içinde bulunduğumuz döneme Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.

Cisco’nun araştırmalarına göre İnternete bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu 1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı. Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50 milyara ulaşacağı öngörülmektedir.

Nesnelerin İnterneti

Internet of Things (“Nesnelerin İnterneti”) terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.) sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı. Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle 2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini, sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji, veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik, sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki halini almıştır.

Nesnelerin İnterneti Üzerine Kaygılar

Gün içinde attığımız adım sayımızı veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek, dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın konumdalar.

Yarattığı fırsatlar ve kolaylıkların nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini, daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların “Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere erişememek ve faydalanamamakta bir diğer endişedir.

Uzmanlar, insanların kaygılanmalarına sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu ifade etmektedir. İlke olarak “Secure by Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.

Nesnelerin İnterneti Zafiyetleri

Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.

• I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
• Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
• Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
• Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
• Kompleks parola politikasının uygulanmaması
• Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
• Zayıf parola resetleme seçeneklerinin bulunması

• I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
• Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
• Servis dışı bırakma (DoS) saldırılarına açık olması

• I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
• Verilerin açık metin olarak aktarılması
• Kabul görmüş şifreleme ayarlarının kurulu olması

• I5 Privacy Concerns (Mahremiyet Endişeleri)
• Gereğinden fazla veri toplanması
• Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
• Veri saklama politikasının bulunmaması

• I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
• Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
• Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
• Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
• Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
• Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
• Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması

• I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
• Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
• Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği

• I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
• Güvenlik açıklıkları bulunduğunda güncellenememesi
• Gömülü kullanıcı giriş bilgilerinin bulunması

• I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
• Cihazların kurcalamaya karşı savunmasız olması
• Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi

Bir Saldırının Anatomisi

İnternet’e açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir. Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016 tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi. Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet devi şirketlerin çevrimiçi hizmetlerine erişememiştir.

Sonuç

İnternet’in ortaya çıkışından itibaren insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.  Nazım Hikmet’ten bir alıntıyla bitirecek olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar kötü, kâbus dolu günlere de gebe olabilir.