View
7
Download
0
Category
Preview:
Citation preview
Finans
Sektörüne
Yönelik Yeni
Nesil Tehditler
Burç Yıldırım
Mart 2015
• Tehdit Belirleme
• Güncel Tehditler
• Kullanıcı
• Ödeme Sistemleri
• ATM
Gündem
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 2
3©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Tehdit Belirleme
Neden?
• Sayısallaşan teknoloji iş yapış şeklini değiştirdi
• İş yapış şekillerinden teknolojiyi soyutlamak mümkün değil
• Kaçınılmaz gereksinimleri var
• İşlevsellik
• Bağlantılar
• İşlevsellik saldırı yüzeyini genişletiyor
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 4
Saldırgan Tipleri
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 5
Amatör
Hacker
Organize Suçlu
Text
• Organize
‒ Terör örgütleri
‒ Hactivistler
‒ Gizli Servisler
‒ Suç Örgütleri
• Yetenekli ve bilgili
‒ White/Gray/Black Hat
• Daha az yetenekli
• Mevcut araçları kullanır
• Basit ancak etkili
Hedef – Saldırgan İlişkisi
• Genel kural: Hedefi, saldırganın çıkarı belirler
• Her kaynak saldırgan için anlamlı olabilir
• Politik
− Durdur, gücü ele geçir, propaganda
• Ekonomik
− Fikri mülkiyet ve diğer mali değerli varlık hırsızlığı, dolandırıcılık,
endüstriyel hırsızlık
• Sosyokültürel
− Ego büyütme, şöhret, merak, eğlence
• Özel kural: Farklı çıkarlara hizmet edebilecek kaynaklara sahip olmak hedef olma olasılığını artırır
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 6
Sistem Bileşenleri – Zafiyet İlişkisi
• Amacı karşılayan, kullanıcının hizmetindeki
• Donanım
• Yazılım
• İletişim yöntemi
• Her bileşen temelde aynı zafiyetleri taşır
• Müdahale
• Varsayımlar
• Mantık hataları
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 7
8©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Güncel Tehditler
Ocak 2015 Cyber Threat Acceleration Pack
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 9
Şubat 2015 Cyber Threat Acceleration Pack
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 10
Finans Sektörüne yönelik istihbarat
• Terminal POSlara yönelik zararlılar
• LucyPOS
• ATM hedefleyen zararlılar
• Tyupkin, Anunak, Carbanak
• İnternet bankacılık kullanıcılarını hedefleyen zararlılar
• Dyre, Dridex, Hancitor,
• Kullanıcıları hedefleyen zararlılar
• Cryptolocker, Kovert Malvertising, Poveliks, Cryptowall
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 11
12©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Kullanıcı
• Sosyal mühendislik yöntemleri ile istemci ele geçirilmesi
• İç ağa yayılarak bilgi toplama
• Sistemleri istismar ederek ele geçirme, bilgi sızdırma ve istismar
İstemcileri hedefleyen saldırılar
13©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
14©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
POS Zafiyetleri
Ödeme Noktası Saldırıları
• Çeşitli POS sistemlerine yönelik saldırılar
• Terminal donanımına müdahale
• Terminal değiştirme
• Uygulamaya müdahale
• Chip&Pin
• Yazılım güvenlik problemlerinin istismarı ile sistemin ele geçirilmesi
• Ekran
• Yazıcı
• Uygulama
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited 15
16©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
ATM
• 2006 - ATM'in pinpad kullanılarak tekrar programlanması sonucu para çekilmesi
• 2009 - Skimer-A
• 2010 - Blackhat 2010 ATM Jackpotting
• 2012 - Blackhat 2012 Chip&Pin terminalleri özel kartlar ile sahte ödeme
ekstresi, bulaşarak bilgi toplanmasını sağlama, ağ ve arabirim saldırıları
• 2013 - Ploutus
• 2013 - Yeni nesil Plotus ATM'e takılan telefona gelen SMS ile görevlerini
gerçekleştiriyor
• 2014 – Carbanak
• 2014 – Tyupkin
ATM Güvenlik tarihçesi
17©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
• Sadece fiziksel erişim şart değil, phishing benzeri yöntemlerle banka ağına
bulaşabiliyor
• CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 Word zafiyetleri
• SWIFT ağı ile para çıkartabiliyorlar
• Veritabanlarına müdahale ederek sahte hesaplar açıp para transferi gerçekleştirebiliyorlar
• ATMlerden para çekebiliyorlar
Önemli Noktalar
18©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
ATM Zararlıları Risk Özeti
19©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Cyber Intelligence Centre TAP170215A ATM ROLLUP
• Farketme
• Mutabak sırasında tespit
• Koruma sistemlerini atlatabiliyor
• Ekip ile gerçekleştiriliyor
• Saha ekipleri
• Geliştirici ekipleri
• Kullanılan teknoloji hakkında önemli bilgileri var
• Patron
• Fiziksel güvenlik problemleri
• Kilitler
• Banka doğrudan hedef alınıyor
Sorunlar
20©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited21
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited22
• Arka planda çalışır
• XFS uygulama programlama arayüzü ile iletişime geçer, aksi takdirde kendisini
imha eder
• Mantıksal servisler ile doğrudan iletişim kurar
• Ayarlandığı zaman diliminde ATM pinpad'den gelecek özel tuş kombinasyonunu bekler
• Komutları çalıştırmak için doğru anahtar girilmelidir
Tyupkin Nasıl İşler?
23©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
• Değiştirilmiş programı kullanarak çekmeceleri yönetir
• Üreticiye özel zararlı kullanır
• Çekmece yapılandırmasını değiştirerek, yüksek para çekilmesine sebep olur
Anunak Nasıl İşler?
24©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
• Yönetici hesabı bulmak için iç ağda yayılır
• Bilgi toplar
• Online bankacılık üzerinden para aktarımı
• E-ödeme sistemlerinden çıkartılan paralar
• Bankacılık veritabanındaki değişikliklerle şişirilen hesaplar ve transferler
• ATM
Carbanak Nasıl İşler?
25©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Tersine Mühendislik
26©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
• Fiziksel güvenlik gereksinimlerine uygun kullanım
• Kayıt merkezileştirme ve anlamlandırma
• Bütünlük denetliyicileri ile kontrol
• Sabit disk dışı boot yetenekleri devre dışı bırakılmalı
• Medya çevre birimleri devre dışı bırakılmalı
• Üretici işbirliği
Öneriler
27©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Yetenek Tanım Gereksinim
Erken Tespit İstismar edilen zafiyetlerin belirlenmesi • Zafiyet tarama yazılım kayıtları
• Proxy Kayıtları
• Ağ Adli Bilişim
Erken Uyarı Tehlikeli yerle olan trafik • Proxy Kayıtları
• Zafiyet tarama yazılımı
• Ağ Adli Bilişim
• Layer 7 flow sensörleri
• ATM – Uç nokta kontrolü
Risk Tespiti Tehlikeli registry değişiklikleri • ATM – HIDS
• DLP
• Layer 7 flow sensörleri
• NIDS kayıtları
• Network Malware Sandbox
• SMTP Malware Sandbox
• Endpoint Malware Sandbox
Tehdit Göstergeleri Zararlı dosyaların ve trafiğin varlığı • NIDS
• ATM HIDS
• Layer 7 flow sensor
• ATM firewall kayıtları
• ATM OS kayıtları
• Network Malware Sandbox
• SMTP Malware Sandbox
• Endpoint Malware Sandbox
Kayıt Merkezileştirme ve Anlamlandırma
28©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
29©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Sonuç
• Tehdit karmaşıklaşıyor, zarar saldırgan tarafında ölçeklenebilir
• Siber istihbarat yetenekleri geliştirilmeli
• Uygulama
• Entegrasyon
• Yönetim
• Destek
• Kriz yönetimi
• Hazırlık
• Yanıt
• Kurtarma
Sonuç
30©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
©2015 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Recommended