:: DoliGroup Digital Solutions ::

2005 Y�l� G�venlik De�erlendirmesi

Sald�rganlar�n art�k �ne de�il para kazanma amac�na y�nelik davran��lar sergiledi�ine dikkat �ekilen raporda, phishing sald�r�lar�ndaki art��n bu y�l da s�rece�i kaydedildi.

Sald�rganlar�n, bilgisayar�n d��ndaki cihazlara y�nelik sald�r� y�ntemlerine de yer verilen rapora g�re, cep telefonlar�ndan sonra �imdi de playstation�lar tehdit alt�nda.

Symantec, ge�en y�l i�inde gizli bilgileri �almak i�in kullan�lan pop�ler online doland�r�c�l�k y�ntemlerinden phishing sald�r�lar�n�n g�nl�k 2.99 milyon adet mesajdan 5.70 milyona y�kseldi�ini a��klad�. Symantec�in 2005 y�l�n� de�erlendirdi�i rapora g�re, Symantec Brightmail AntiSpam sahtecilik filtrelerinin, ge�en y�l�n ba��nda haftada yakla��k 21 milyon phishing te�ebb�s�n� durdururken, y�l sonuna do�ru bu rakam�n 40 milyonun �zerine ��kt��na dikkat �ekildi.

Symantec�e g�re, sald�rganlar yeni hedeflere y�neldik�e phishing tehditleri de artmaya devam edecek. Symantec, b�lgesel bankalar gibi k��k hedeflerin b�y�klere oranla daha fazla ve genellikle de sald�rganlara kar�� daha korumas�z olmas�n�n phishing hedeflerinin say�s�ndaki art��n s�rmesindeki temel etkenlerden biri olarak g�r�yor.

Symantec, raporda Amerika�da online aktiviteler �zerine ger�ekle�tirdikleri anketin sonu�lar�na da yer verdi. 2400 ki�iyle ger�ekle�tirilen ankete kat�lanlardan, kredi kart� bilgilerini online ortamda verenlerin y�zdesi 76 olurken, online al��veri�e tam olarak g�venmediklerini s�yleyenlerin oran� ise y�zde 60 oldu. Buna kar�� ankete kat�lanlar�n y�zde 88�inin bilgisayarlar�nda antivir�s, firewall ve izinsiz giri� tespiti gibi basit g�venlik korumas� bulunuyor. D�zenli olarak �ifrelerini de�i�tirenlerin oran� ise sadece y�zde 35.

Hacker�lar�n amac� art�k para Symantec taraf�ndan yay�nlanan raporda, 2005 y�l�nda g�zlenen bir di�er �nemli de�i�imin ise hacker�lar�n ama�lar� oldu�u belirtildi. Mevcut bir�ok tehditin motivasyonunun kar oldu�una vurgu yap�lan raporda, �Hacker�lar�n ama�lar� �n kazanmaktan parasal kazanca do�ru kaym��t�r� ifadesine yer verildi. Hacker�lar�n bu de�i�imle beraber, masa�st� bilgisayarlar� hedefleyen k�t� niyetli kodlarda yeni y�ntemler geli�tirmek �zerine yo�unla�t��n� ve sald�r�lar�n art�k belli hedefleri oldu�u da kaydedildi.

Raporda, bu yeni y�ntemlere �rnek olarak bot network olarak adland�r�lan ve hacker�lar�n bilgisayarlar� ele ge�irerek kullan�c�s�ndan habersiz kendi amac� do�rultusunda sald�r�larda kullanmas�, uyarlanabilen mod�ler k�t� niyetli kod, Web uygulamalar� ve taray�c�lar�na y�nelik sald�r�lar g�sterildi. Yine ayn� raporda, Symantec�in, 2005 y�l�nda y�zde 140�tan fazla art��la g�nde ortalama 10,352 adet aktif bot network bilgisayar� tespit etti�i a��kland�. Ayr�ca 2004 y�l�n�n son alt� ay�nda y�zde 54 olarak belirlenen gizli bilgiyi a��a ��karan k�t� niyetli kodlar�n oran�, 2005 y�l�n�n ilk alt� ay�nda y�zde 74�e ula�t�.

Playstation�lar da tehdit alt�nda Raporda, geleneksel olmayan cihazlara y�nelik tehditlerin ortaya ��kmas�n�n bir s�redir beklendi�ini ve Symantec�in ge�en ekim ay�nda Trojan.PSPBrick�i �serbest ortamda ke�fedilen ve Sony PlayStation Portable (PSP)�� hedefleyen ilk Truva At�- tespit etti�i de kaydedildi. Oyun kullan�c�lar�na, kendisine uygulama s�s� veren ve Sony d��ndaki oyunlar�n PSP �zerinde �al��mas�na olanak sa�layan bu dosyay� y�klemenin �ekici geldi�i belirtilen raporda, �Kullan�c�lar, bu k�t� niyetli dosyay� bilgisayarlar�na indirebilir ve daha sonra bunu PSP�ye transfer edebilirler. Bir kez PSP�ye y�klendikten sonra da Truva At�, sistem dosyalar�n� silerek, oyun �nitesini kullan�lmaz hale getirirebilir�uyar�s�nda bulunuldu. Raporda, 2006 y�l�nda da geleneksel olmayan platformlara y�nelik yeni tehditlerin ortaya ��kaca��n�n �ng�r�ld�� de ifade edildi.

Cep telefonlar�ndaki risk art�yor Symbian ��letim Sistemi�ne y�nelik son iki y�l i�inde yarat�lan 73 k�t� niyetli kod ve t�revlerinden 56�s� 2005 y�l� i�inde ortaya ��kt�. Raporda, ge�en y�l cep telefonlar�na y�nelik sald�r�lar i�inde en pop�ler haber olan �Paris Hilton vakas�na� da yer verildi. �ubat 2005�te bir hacker, Paris Hilton�un Sidekick cihaz�na eri�erek, telefon numaralar� ve e-posta adreslerini �alm�� ve bu bilgiler �e�itli Web sitelerinde yay�nlanm��t�. Baz�lar� bu duruma tahmin edilmesi kolay parolan�n yol a�t��n� savunurken, bir di�er g�r�� ise s�z konusu adres defterinin asl�nda Paris Hilton�un servis network��ne izinsiz giren ayn� hacker taraf�ndan 2003 y�l�nda �al�nd�� teorisini �ne s�rm��t�. Symantec ise raporda, sald�rgan�n servis vericinin Web sitesindeki �ifre s�f�rlay�c� �zellikteki bir hatadan yararlanm�� olmas�n�n, bu konudaki en akla yak�n a��klamalardan biri oldu�unu ifade ediyor. Symantec, b�yle bir sorunla kar��la��lmamas� i�inse �ifre kullan�lmas�n� �neriyor.

Baz� uzmanlara g�re 4 basamakl� bir PIN kodu bir saniyeden daha k�sa bir s�rede ve 6 basamakl� bir PIN kodu ise 10 saniye gibi bir s�rede ��z�lebilirken, 10 basamakl� bir PIN kodunun ��z�lmesi b�y�k bir olas�l�kla haftalar s�rebiliyor. A�ustos 2005�te bir grup Avrupal� kablosuz g�venlik uzman�n�n Bluetooth sistemlerinin eksikliklerini sergilemek i�in geli�tirdikleri Car Whisperer�a da yer verilen raporda, �Car Whisperer kullan�rken, el serbestisi sa�layan hands-free sistemlerin pek �o�unun bir cihaz�n sisteme eri�imine izin vermek i�in sadece basit bir d�rt basamakl� g�venlik anahtar� gerektirmesinden yararlanm��t�r. Otomobil �reticilerinin pek �o�u Bluetooth sistemlerinin t�m� i�in ayn� kodu kullan�rlar, bu da Car Whisperer��n otomobilden ses alma ve g�nderme i�leminin yapmas�n� kolayla�t�r�r� ifadesi kullan�ld�.

SMS ile gelen spam�ler art�yor Raporda, dikkat �ekilen bir di�er konu ise cep telefonlar�ndaki spam idi. SMS kapasitesinin Web sitesi pazarlama ara�lar� i�indeki y�kseli�inin b�y�k bir ihtimalle 2006 y�l�nda SMS spam��n� Kuzey Amerika i�in �nemli bir problem haline getirece�i vurguland�. Kore Bilgi G�venli�i Ajans��na gore, mobil spam say�s� 2004 y�l�n�n ilk 9 ay�nda 244,151 olarak ger�ekle�irken, bir �nceki y�l�n ayn� d�neminde istenmeyen e-posta mesajlar�n�n say�s� 78,063 oldu. Symantec�e g�re, sa�lay�c� SMS gateway�leri spam�n �nemli bir b�l�m�n� tespit edip,durdurmal�d�r. Ancak bu durumda spam g�nderenler becerilerini daha da art�rarak, ilgili kontrollar� ba�ar�yla a�acaklar� i�in kullan�c�lar bu cephede g�venlik ile ilgili geli�meleri de g�ncel tutmak zorunda kalacaklar.

Bluetooth endi�e verici olmay� s�rd�r�yor Bluetooth kablosuz teknolojisi art�k her yerde kullan�l�yor. Bluetooth �zel �lgi Grubu (SIG) na g�re haftal�k Bluetooth aktar�m� 2005�in ikinci �eyre�inde 5 milyon birim noktas�n� ge�ti. Bu rakam 2004��n ��nc� �eyre�inde 3 milyon birim idi. Bu b�y�menin b�y�k bir b�l�m� cep telefonlar� ve PDA piyasas�nda ger�ekle�ti. Bug�n pazara sunulan cep telefonlar�n�n y�zde 20�si Bluetooth �zelli�ine sahip. 2006�da ise kurumsal kategorideki telefonlar�n �o�unlu�unda Bluetooth �zelli�inin bulunaca�� ng�r�l�yor.

Bluetooth�un PC�lerde de bulunmas� dolay�s�yla biti� noktas�nda da g�venlik zorluklar�n� ortaya ��k�yor. Symantec�in raporda da yeralan �nerilerinin ba��nda �irketler taraf�ndan ��kart�lan Bluetooth cihazlar�n�n belirlenmesi ve kullan�c�lar� bilinen a��klara kar�� uyar�lmas�. �al��anlar�n e�itiminin �nemine de de�inilen raporda, cihazlar�n �e�le�tirilmesinde� dikkatli olunmas� ve Bluetooth �zerinde kontrol� olan �r�nlerin bulunmas�n� da �neriyor. Ayr�ca, g�venlik risklerini tan�yan ve bunlar� a��klayan ara�lar�n kullan�lmas� ve ihtiya� duyulmad�� zamanlarda devre d�� b�rak�lmas�n�n da etkili olaca�� belirtildi. Raporda, �Bir hacker a��k ve sakl� olmayan bir Bluetooth cihaz�n�n co�rafi alan�n� tarayabilir. Bu, herhangi birisinin k�t� niyetli kodlar� sokmaya kalkt��nda bir network�e giri� i�in kullanabildi�i, zararl� olabilece�i kan�tlanm�� yollardan biridir� denildi.

Y�ksek seviyeli tehditler azald� �te yandan 2005 y�l�nda sadece 6 adet 3. seviyede tehdit ortaya ��kt�. Tehditler 5 �zerinden de�erlendirilirken, 2004 y�l�nda 3. seviyedeki tehdit say�s� 32 idi. Ge�en y�l �ubat ay�nda MyDoom.AX ve Beagle.AZ, May�s�ta Sober.O, A�ustos ay�nda ise Zotob.E ve Esbot.A bilgisayar kullan�c�lar�na zor anlar ya�att�. Zotob kurt�u�u, di�er y�ksek profilli tehditler kadar fazla art�� g�stermemi� olmas�na kar��n, sald�r�ya u�rayanlar, etkisini �nemli �l��de hissetti.

2006�y� neler bekliyor? Symantec, 2005 y�l�n� de�erlendirdi�i raporunda 2006 y�l�na ili�kin �ng�r�lere de yer verdi. Symantec�e g�re, sald�r�lar� �nlemek �zere tasarlanm�� zelliklerin ilave edilmesine ra�men, hacker�lar Microsoft Vista gibi yeni platformlar� hedef almaya devam edecekler. Symantec ayr�ca cep telefonlar�, PDA�ler ve hibrit cihazlar daha fazla yayg�nla�t�k�a spyware ve adware gibi g�venlik risklerinin bunlar� giderek artan bir �ekilde hedef alaca��n� da �ng�r�yor. Ancak buradaki risklerin i�letim sistemine, uygulama ve bu cihazlar�n nas�l konfig�re edildi�ine ve kullan�ld��na ba�l� olarak farkl�l�k g�sterece�inin alt�n� �iziyor. Symantec, ayr�ca bu cihazlar� hedef alan spam�de de art�� bekliyor.

Symantec�in 2006 y�l� �ng�r�lerinden bir di�eri de Voice over Internet Protocol (VoIP) ile ilgili. Geleneksel analog telefon sistemlerine alternatif olarak h�zla yayg�nla�an ve bug�n 23 milyon VoIP kullan�c�s� say�s�n�n 2006�n�n sonunda 160 milyonu a�mas� bekleniyor. Halen VoIP sistemlerini hedef alan birka� sald�r� bildirilmi� olmas�na kar��n Symantec, raporunda bu yeni haberle�me teknolojisi geni� �apl� olarak kabul g�rd�k�e ve kurulduk�a sald�rganlar�n bunu daha yo�un olarak hedef almalar�n�n da an meselesi oldu�una dikkat �ekti. Raporda yeralan olas� senaryolardan biri de IP-tabanl� sald�rganlar�n geleneksel telefon sistemlerine IP-PSTN a� ge�idi arac�l��yla eri�im elde edebilecek olmas�.

Eklenme tarihi: 23.1.2006