Merhaba, Cryptolocker ataklarý için kullanýlan domain'ler için SPF kaydý da, IP adreslerinin reverse DNS kayýtlarý da bulunuyor. Bu kontroller Cryptolocker ataklarý için bir önlem olarak iþe yaramýyor. Karþýmýzda email sistemleri kurup üzerinden normal yollardan email'ler gönderen birileri var. Kendilerini ele vermeyecek noktaya kadar olan kontrol noktalarýný aþacak önlemler alabiliyorlar. Daha sýký kontroller yaptýðýnýzda ise Ömer Bey'in de belirttiði gibi, zorunlu olmayan SPF gibi kayýtlar genelde yapýlmadýðýndan iletiþim sekteye uðruyor. SPF kaydý yaný sýra reverse DNS kaydýnýn ilgili domain'i gösterecek þekilde yapýlmasý, mail server host name için A kaydý oluþturulmasý gibi tavsiye edilen "iyi uygulamalar" ise pek az dikkate alanýyor. Ataklarýn yoðun olduðu bir dönemde bir süre bu kontrolleri devreye almýþtýk. Ýrili ufaklý, yurt dýþý ve içi birçok firmanýn yaný sýra, aklýnýza getirmeyeceðiniz hosting firmalarý ve bankalarýn bir çoðu kontrolleri geçemez hale gelmiþti. Bir süre mücadele edip, sýk iletiþimde olunan yerler ile görüþerek özellikle DNS kayýtlarýnda düzeltmeler yaptýrdýk (bir banka da dahil). Ancak baktýk ki pek kimse bunlarý pek kâle almýyor ve dünyaya savaþ açmýþ gibi oluyoruz, baþa çýkamayýp eski tas eski hamam durumuna geri dönmek durumunda kaldýk. Bu tür durumlarý önleyici standartlar zorunlu hale gelmedikçe, zararlýlarý tespit etmeye çalýþan sistemlerin yetenekleri ölçüsünde korunabilir olacaðýz sanýrým.
Yavuz Cengiz Bilgi Ýþlem Müdürü IT Manager PharmaVision San. ve Tic. A.S. Davutpasa Cad. No:145 TR-34010, Topkapi - Istanbul - Turkey Tel.: +90 (212) 482 00 00 / 1370 Fax : +90 (212) 482 00 93 e-mail : yavuz.cen...@pharmavision.com.tr Web : www.pharmavision.com.tr ________________________________ From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Ömer Altundal Sent: Wednesday, March 11, 2015 11:33 AM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Deðerlendirme Deðerlendirmeleriniz çok kýymetli, yalnýz birþeysöylemek istiyorum özellikle SPF konusunda. Eðer SPF kontrolü devreye alýnýrsa çoðu kurum mail almada sýkýntý yaþayacaktýr. Çünkü çoðu kurum kendi domainleri için SPF kaydý girmiyor ve alýcý taraf eðer SPF kontrolü yaparsa ve bu "olmazsa olmaz" þart haline gelirse mail trafiði sekteye uðrar. Bu da, diðer dedikleriniz de keþke uygulansa diyeceðimiz güzel öneriler :) @omer_f_altundal > From: muharrem.tu...@infotron.com.tr > To: liste@netsectr.org > Date: Wed, 11 Mar 2015 08:27:34 +0000 > Subject: [NetSec] CryptoLocker - Genel Deðerlendirme > > Arkadaþlar merhaba, > > Mailler üzerinden yapýlan CryptoLocker ataklarýyla ilgili olarak genel bir > deðerlendirme yapmak istiyorum; > > Bir network'ün dýþ dünyaya açýk en savunmasýz kapýsý mail sistemidir. > Öncelikle mail server ve dýþ dünya arasýna, spam, virüs ve casus yazýlým > kontrolleri yapan donanýmsal yada yazýlýmsan bir firewall > konumlandýrýlmalýdýr. > konumlandýrýlan firewall'un mail eklerini ve mail gövdesinde yer alan > linklerdeki dosyalarý çekip Ýçeriðini inceleyip, çýkan sonuca göre bu maili > server'a ulaþtýrmalýdýr. > > Firewall kontrollerinden geçen, mail server'a düþen maillerin gerçek > kaynaktan gönderilip gönderilmediði kontrol edilmelidir. > Özellikle SPF, PTR kayýtlarýnýn kontrolleri, devamýnda global blacklist > kontrolleri yapýlmalýdýr. > > Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini > geçmiþse ve global blacklistler'de yoksa mail içeriye alýnýr. > Mail, sunucuya alýndýðýnda, virüs veri tabanýný sürekli güncelleyen bir anti > virüs yazýlýmý ile sunucu tarafýnda taranmalýdýr. > Bu kontrollerle gerçek, güvenli, ekinde zararlý içeriðe sahip dosyalar > olmayan mailin sunucuya ulaþmasýný saðlar. > Zafiyet tamda bu dokta da baþlamaktadýr. Mail gövdesinde gönderilen > linklerin, zararlý yazýlýmlarýn kullanýcý tarafýndan indirilmesi sonucu > oluþmaktadýr. > Bu noktada kullanýcý tarafýnda kullanýlan antivirüs yazýlýmý çok önemli bir > görev üstlenmektedir. > > CryptoLocker tarzý yazýlýmlarýn önlenmesi mail server ve dýþ dünya arasýna > konumlandýrýlan firewall'un mail eklerini ve mail gövdesinde yer alan > linklerdeki dosyalarý çekip > Ýçeriðini inceleyip, çýkan sonuca göre bu maili server'a ulaþtýrmalýdýr. > > CryptoLocker ataklarýný mail server önüne ve iç network ile dýþ dünya arasýna > konulacak bir firewall ile önleyebilirsiniz. > CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin > bloklanmasý ne yazýk ki geçici bir çözüm oluþturacaktýr. > > Saygýlarýmla, > Muharrem Turan > > > Yazici çiktisi almadan önce ÇEVREMIZI düsünün Before printing, think about the ENVIRONMENT Bu elektronik posta; sirketimize özel, gizli ya da yalnizca özel izin üzerine açiklanabilecek bilgiler içerebilir. Bu elektronik postayi yanlislikla aldiysaniz, lütfen buradaki bilgilerin yayilmasinin, dagitilmasinin, kullanilmasinin ya da kopyalanmasinin kesinlikle yasak oldugunu unutmayiniz. Bu elektronik postayi yanlislikla aldiysaniz lütfen hemen +90 212 482 0000 numarali telefonu arayarak ya da elektronik postayi geri göndererek gönderen kisiyi bilgilendiriniz ve elektronik postayi bilgisayarinizdan siliniz. Mesajda ve eklerinde yer alan bilgilerin her ne sekilde olursa olsun üçüncü kisiler ile paylasilmasi hukuki ve cezai sorumluluk dogurabilir. PharmaVision A.S.'nin, bu mesaj ve eklerinin içerigi ve yayimi ile ilgili hiçbir sorumlulugu bulunmamaktadir. This communication may contain information that is proprietary, confidential, or exempt from disclosure. If you are not the intended recipient, please note that any dissemination, distribution, use or copying of this communication is strictly prohibited. Anyone who receives this message in error should notify the sender immediately by telephone +90 212 482 0000 or by return email and delete it from his or her computer. Sharing the information in the message or the attachments with the 3rd parties may cause legal rules and penalties to apply. PharmaVision A.S. has no responsibility on the submission and content of this message and the attachments.