12 Ocak 2020 Pazar

KVKK'dan sınıfta mı kaldık?

Kişisel verilerin korunması  ile ilgili ara ara yazılar okuyorum. Fakat bu sefer emsal niteliği teşkil edecek bir kararın çıkması benimde daha fazla dikkatimi çektiği için bu yazıyı kaleme alma ihtiyacı hissetim. Bu kanunun temel amacı 3 yıl önce yürürlüğe girdiğinde, madde-1'de belirtildiği gibi kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir, olarak belirtilmiştir. Daha detayı için referanslar kısmından ulaşarak okuyabilirsiniz. 

KVKK ile ilgili uzman hukukçuları ve IT danışmalarının sosyal medyadaki yorumları, paylaşımları ve konuya olan ilgileri ile ilgili paylaşımları gördüğüm zaman iki farklı gruplaşma olduğunu gözlemliyorum. Hukukçular genelde bu kanunun hukuki tarafı ile ilgilenip IT tarafını ikinci plana atıyorlar. IT danışmanlarının yapmış oldukları yorumları gözlemlediğim zaman KVKK'nın IT boyutunun daha ön planda olduğu ile ilgili iddialarda bulunuyorlar. Bence her iki tarafta önemli olmakla birlikte; bu verilen karar emsal niteliği taşıdığı için ayrı bir önem arz etmektedir.

Karar tarihi: 26/11/2019
Karar no: 2019/352

Bir banka nezdinde gerçekleşen veri ihlali ile ilgili olarak kişisel verileri koruma kurulunun 26/11/2019 tarihli ve 2019/235 sayılı karar özetinde, bankanın kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde 

Kararın tümüne linkteki referanslar kısmından okuyabilirsiniz;

  • Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı tespit/önleme sistemlerinim mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısı olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
  • Bankanın teknik tedbir olarak belirttiği "Kredi kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği" tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
  • İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,

  • Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği

hususları dikkate alındığında;


Kanun'un 12.maddesinde düzenlenen veri ihlallerini Kurul'a bildirim yükümlülüğü kapsamında, 2019 yılında Kurul tarafından toplamda en az 800 binin üzerinde kişiyi etkileyen 37 veri ihlal bildirimi yayımlandı. 

Kurum, bu yıl toplamda 25 Çarşamba seminerine ev sahipliği yaptı. Bunun yanında Kişisel verileri koruma dergisinin ilk iki sayısı da bu yıl içinde yayınlandı.

Verilen kararları değerlendirecek olursak, KVKK kurulu birinci kararda DLP, SIEM ve Mail gw sistemlerinizi kurmuş olmanız yetmez sistemlerin prevention modda çalıştığından ve veri ihlallerine neden olabilecek durumlara karşı yeterince harden edilmediğinden, config edilmediğinden dolayı ceza kestiğini düşünebiliriz. Bu aynı zamanda bizim için şu demek; yakın zamanda yönetmiş olduğumuz sistemlerimizin yeteneklerini ve alınması gereken tüm önlemleri %100 alabiliyor olmamız, farklı senaryoları test etmemiz gerekicek demek. 

İkinci madde içinse 72 saatlik bir bildirimde bulunmak söz konusu olduğu söyleniyor ancak, kurumun böyle bir veri ihlaline maruz kaldığını 72 saat içerisinde teknik olarak anlayabiliyor olması gerekicek demek gibi bir sonuç çıkıyor. : ) 

İşin mevzuat boyutu önemli olmakla birlikte IT uzmanlarına bu saatten sonra daha fazla iş çıkacak gibi duruyor.  O zaman ürün aldık kurduk, her şey tamam. : ) KVKK'dan sınıfta mı kaldık? Güvenli günler dilerim.





Referanslar:

11 Ocak 2020 Cumartesi

MageCart Group Formjacking Attacks Analysis


Siber güvenlik olay müdahalesiyle yakından ilgileniyorsanız ve güvenlik olayları analizi işinizin bir parçası ise sıklıkla kurum ağınıza dahil olan her kullanıcının, cihazın, iot ve byod hepsinden tetiklenen alarmları derinlemesine analiz etmeniz gerekiyor. Zira sistemlerinizin üretmiş olduğu alarm ve iz kayıtlarını yeteri kadar iyi analiz etmezseniz, maruz kalabileceğiniz bir veri ihlali, siber güvenlik olayı, herhangi bir APT grubunun hedefi olmaya kadar gidebiliyor. İşte bu noktada formjacking url'i ziyaret edildiğine dair alarm alan bir güvenlik uzmanı için serüven başlıyor. : )

Açıkçası bu yazıyı yazmama ilham olan ve bu konuda farkındalığımın artmasına daha fazla güvenlik araştırması yapmama neden olan bu yazı için Furkan bey ve çalışma arkadaşlarına ayrıca teşekkürler. : )

Formjacking saldırıları saldırganların belirli bir zafiyet içeren web sitesindeki zafiyeti istismar ederek, hedef aldıkları sitelerin ödeme formlarına enjeckte etmiş oldukları kendi zararlı javascript kodlarıyla, ödeme ve diğer hassas bilgileri kaçırdıkları saldırılar olarak bilinmektedir. Detaylı bilgiler için yazıdaki referanslar kısımlarını ziyaret edebilirsiniz.

İstihbarat odaklı güvenliğin önemli olduğunu düşünen birisi olarak sıklıkla twitterda güvenlik ile ilgili paylaşım yapan bir çok hesabı takip ediyorum. Malwarebytes'ın tehdit istihbaratı tarafından paylaşılan aşağıdaki bilgiden sonra hem kendi analiz yeteneklerimi geliştirmek hemde farklı bir şeyler keşfedebilmek adına araştırma yapmaya başladım. 


Figure. 1

İçerisinde ATMZOW kelimesi geçen ve analiz amacıyla kaynak kod arama moturu olan nerdydata aracından faydanlanmak üzere yola koyuldum. Karşıma ATMZOW kelimesi geçen 45 farklı domain çıktı. 


Hemen ilk çıkan domaini analiz etmek üzere yola koyuldum. Süphelenmiş olduğum domainleri analiz ederken kullandığım urlscan.io ve browserling'de domaini tarattım. Sitenin altyapısında magento kullanılıyor olması ve e-ticaret sitesi olması beni daha da heyecanlandırdı. 


Sitenin mevcut kullanmış olduğu magento uygulamasında zafiyet olup olmadığını araştırmak için online public free magento scanner toollarından faydalandım. Bu ve benzeri toolların faydası kurumsal bir SOME'de gerçekleşen güvenlik olaylarını analiz ediyorsanız herhangi bir T anında son kullanıcıdan gelen süpheli bir url ziyaret edildiğinde sitenin sadece magento değil farklı zafiyetler içeriyor olduğunu bilmek compromise olduğuyla ilgili size,analiste daha fazla süphe uyandırabilir. Zira exploit kit landing pageler, malware C&C domainler, ya da legitimate adresler bu istismarlar sonucu saldırganlar tarafından sıklıkla hedef alınmaktadır. Bu açıdan analist bakış açısı kazanmaya faydalı olabileceğini düşünüyorum.

Tarama sonuçlarından yola çıkarak bu sitede bulunan magentonun patchlenmemiş sürümü kullanıldığını public araçlar sayesinde de test edip görebilmiş oldum.






Bu aşamadan sonra sitede sahte bir alışveriş yapıp checkout sayfasına geçtim. Hemen sahte bir kredi kartı  ve bilgileri generate edip aşağıdaki form alanlarını doldurdum. : )




Beğendiği botu alan ve alışveriş yapmanın keyfini yaşayan Alissa için her şey normalmiş gibi görünse de place order now  demesiyle saldırganların enjeckte etmiş oldukları zararlı javascipt kodu ile kredi bilgileri saldırganların sunucularına yönleniyordu.  :)
Neyseki Alissanın çalıştığı şirkette antivirus programı formjacking saldırısını olduğunu anlamıştı ve şirketteki çalışan SIEM'den gelen alarmları analiz eden siber güvenlik uzmanı durumdan haberdardı. :)



Bu aşamadan sonra sayfanın kaynak kodlarını incelemeye karar verdim. Sitenin kaynak kodlarını yukarıdan aşağıya incelemeye başladığımda her şey normal görünüyordu. Ancak sayfanın sonuna geldiğim bir yer hariç. 




Hemen ekran görüntüsündeki karmaşıklaştırılmış javascript kodunu güzelleştirmek üzere yola koyuldum. Online kullanılabilecek javascipt beautifier ve ddecode araçlarından faydalanarak kodu güzelleştirdim. Güzelleştirilmiş kodların içerisinde saldırganların topladıkları verileri gondermiş oldukları ip adresini kefşedebilmiş oldum.



Daha sonra bu ip adresini threatminer sitesinde aratmaya karar verdim. Çıkan sonuçlarda aslında bu ip adresinin bir kampanya adresi olduğu daha önce yapılmış analiz sonuçları ve tweetlere ulaştım.







Bu twitterlerden birisinde magento için yazılmış bir php backdoorun aynı zamanda js skimmer olarak kullanıldığı ile ilgili bir twitte rastladım.


Analize devam ederken nerdydata üzerinde arama sonucu çıkan domainlere baktığımda da onlarında compromise olduğu ve zararlı javascript kodu enjecte edildiğini gözlemlemiş oldum.


Proaktif alınabilecek önlemler

  • Geçmişe yonelik 103.139.113.34 ip adresine kurum içi ağdan erişim isteği olmuşsa kontrol edilsin.
  • Firewall, web content gw, dns firewall gibi cihazlarda block list oluşturularak 103.139.113.34 adresi bu listeye eklensin.
  • SIEM' üzerinde dynamic intelligence listesine 103.139.113.34 si eklensin ve bu adrese erişim olduğunda alarm çalsın. Analist analiz etmeye başlasın.
  • Formjacking kategorisinde bulunan domainlerle ilgili alarm gelen sistemlerden(AV gibi) historical rapor oluşturulsun. Aylık kaç kişi bu ve benzeri domainlere erişmeye calismis, bunlardan kaçı tehdit barındırıyor gibi.
  • Sinkhole yeteneği olan cihazların kurum trafiğinin özellikle WAN giden isteklerde doğru konfigürasyonlarının aktif edilmesi ve sinkhole adresine gerçekleştirilen isteklerin analistler tarafından dashboardlar arayıcılığı ile izlenmesi. 
  • Tehdit avcılığı ile ilgili ip, domain, hash gibi bilgilerin kontrol edilip tehdit avcılığı yapılması.
ioc: 103.139.113.34

Sonuç:

Güvenlik olayları analizi yaparken open intelligence ve OSINT araçlarından sıklıkla faydalanıyoruz. İstihbarat odaklı güvenlik için istihbaratı yalnızca bir yerden almak yeterli olmayacaktır. Güvenlik ürünlerinden tetiklenen alarmları tehdit modellemesi yaparak ve neye ne kuralı yazacağımızı bilerek hareket edersek maksimum fayda sağlayacaktır. Yazımı okuyan kişilere faydalı olması dileğiyle, güvenli günler dilerim.


Referance:
https://www.bleepingcomputer.com/news/security/australia-bushfire-donors-affected-by-credit-card-skimming-attack/
https://us.norton.com/internetsecurity-emerging-threats-what-is-formjacking.html
https://furkancaliskan.com/hunting-magecart-using-osint/
https://twitter.com/MBThreatIntel/status/1215693928764063744
https://nerdydata.com/reports/atmzow/f9e3bf6e-a6e5-47d5-bbf0-876d9bb62ca5
https://publicwww.com/websites/ATMZOW/
https://www.symantec.com/blogs/threat-intelligence/formjacking-attacks-retailers
https://urlscan.io/result/3716c66d-2edc-49ce-aa5e-978fa9965586/
https://sitecheck.sucuri.net/results/www.cicihot.com
https://geekflare.com/magento-security-scanner/
https://www.magereport.com/scan/?s=https://www.cicihot.com/
https://magentary.com/magento-security-patch-tester/
https://webscan.foregenix.com/webscan_results.html?scanid=38538c39_597b_4a24_a2b1_32c6d6f9a43d&emailaddress=test1111@yopmail.com
https://github.com/steverobbins/magescan
http://getcreditcardinfo.com/generatevisacreditcard.php
https://www.virustotal.com/gui/domain/www.cicihot.com/details
https://www.mertsarica.com/magecart-analizi/
https://paste.ubuntu.com/p/mKrXwz6nPv/
https://codebeautify.org/jsviewer
http://ddecode.com/hexdecoder/?results=b839d8dd56b99e40528d7af24e2568fb
https://twitter.com/search?q=103.139.113.34&src=typed_query
https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/
https://www.threatminer.org/host.php?q=103.139.113.34
https://twitter.com/jknsCo/status/1201837540191457281
https://blog.trendmicro.com/trendlabs-security-intelligence/fin6-compromised-e-commerce-platform-via-magecart-to-inject-credit-card-skimmers-into-thousands-of-online-shops/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anyone-can-check-for-magecart-with-just-the-browser/

Blog Arşivi