Artık hayatımızın önemli bir gerçeği siber saldırılar. Üstelik her geçen gün daha şiddetli ve farklı saldırılar da görülebiliyor. İşte böyle bir saldırı geçen cuma yaşandı, hem de 100’den fazla ülkeyi etkileyerek; İngiltere’de sağlık sistemi, İspanya’da Telefonica, Almanya’da tren istasyonlarındaki ekranlar, Rus İçişleri Bakanlığı sorun yaşayan yerler arasındaydı.
Peki nasıl bir saldırı ve ne yaptı?
Saldırı, Microsoft Windows işletim sisteminde yer alan “EternalBlue” [1] isimli bir açığı kullanıyor. Basitçe bir mail ile bilgisayarlara sokulan truva atları (küçük kod parçaları) üzerinden yapıldı. Gönderilen maillerdeki linklere tıklayanlar, bu zararlı kod parçalarını (başka deyişle virüs) bilgisayarlarına sokmuş oldular.
Bu virüs parçaları bir kaç gün makinada kalabiliyor. Böylece etrafını tanıyor. Yani bu bilgisayarın sahibi ne iş yapar ve ne tür bilgileri (dosyaları) kıymetlidir, bunları tespit ediyor.
Daha sonra bir yerden kumanda edilen bu virüs parçaları, bilgisayarlardaki dosyaları şifreliyor. Şifre sadece saldırganlarda olduğu için de, dosyaların yeniden açılması mümkün olmuyor. Saldırganlar şifreyi açmak için 300 $ karşılığı Bitcoin istiyorlar. Bu parayı ödemediğiniz her gün fidye artıyor ve 600 $’a kadar tırmanıyor. Zaten 1 hafta süre verilmiş durumda. Ekranda ne kadar süreniz kaldığı da bir sayaçla birlikte gösteriliyor. Ödemediğiniz zaman verileriniz siliniyor.
Bu arada, ülkemizde telif hakları konusunda fırtınalar estiren BSA-Microsoft'un hukuki sorumluluğu da ayrı bir konu. Avukat Gökhan Candoğan hem Microsoft'un, hem de hükümetin hukuki sorumluluğunu hatırlatıyor ve "bu lisans bedeli neyin karşılığıdır? Lisans bedeli ödeyerek “güvenli” bir kullanım hakkı elde etmiş olmuyor musunuz? " diye soruyor [2].
Saldırı nasıl mümkün oldu?
Nisan sonlarında Shedow Brookers isimli bir hacker grubu, NSA’in yarattığı düşünülen bir hacking aracı yayınladı. Bu araç, Microsoft’un Windows işletim sisteminde yer aldığı belirtilen EternalBlue isimli bir açığı kullanarak bilgisayarlara sızıyor ve içindeki bilgilere erişimi sağlıyor ya da bilgisayarın kumandasını ele geçirmeye yarıyor. İlaveten de "Double Pulsar" isimli bir arka kapı ekliyor.
NSA’in yani Amerikan İstihbarat Örgütünün, 2013’de Snowden tarafından ortaya dökülen dosyalarında, Amerikan vatandaşlarını araştırmaya yönelik casusluk yaptığı anlaşılmıştı. Ama yetmedi, bu sene mart ayından itibaren Wikileaks tarafından yayınlanan belgelerde CIA-NSA’in dünyadaki herkesin bilgisayarlarına sızmaya uğraştığı, bunun için kodlar yazdırdığı ya da satın aldığı ortaya çıktı.
Nisan sonunda hacking aracı yayınlanmadan 1-2 gün önce, Microsoft bu açığa yönelik “yama” yayınladı ama bu yama konusu da zor.. Çünkü yamayı hemen herkes yüklemeyebiliyor. Bazıları farkına bile varmayabiliyor. Sonuçta saldırı bu yamanın olmadığı bilgisayarlarda başarılı oldu.
Zaten o günlerde bir güvenlik analisti “şimdiye kadar bu konuda bir saldırı olmaması şaşırtıcı” sözleriyle, bugünlere yani bir saldırı olabileceğine işaret etmişti bile.
Güvenlik camiasında, Microsoft'un açığını kullanan aracın NSA’in parasını ödeyip yazdırdığı araçlardan birisi olduğu inanışı var. Çünkü onların kullandığı Windows açığını kullanıyor. Hatırlayacaksınız, geçen yıl ABD’de yapılan San Bernardino terör saldırısı sonrasında, saldırganın iPhone’unun şifresi için Apple’dan yazılım istendiğinde, Tim Cook “bu yazılım bir kere yazılırsa, hackerların eline geçer” sözleriyle reddetmişti. Gördüğünüz gibi haklıymış.
Microsoft da aynı fikirde anlaşılan ya da suçu üzerinden atmaya-hafifletmeye çalışıyor çünkü "bu tür araçlar istiflenmemeli" sözleriyle hükümetleri suçlayan bir açıklama yayınladılar [3]
Saldırı Türkiye’de nasıl etki yaptı?
Ülkemizde truva atı bulunan bilgisayar sayısı çok yüksek. Bir araştırma firmasına göre, ülkemizdeki bilgisayarların % 42’sinde trojan var. Tabi bu trojanların hepsi aynı işi yapmıyor. Sahibinin (yaratıcısının) istediği işleri yapıyor. Kimisi sadece sessiz sedasız casusluk yaparken, bazıları banka bilgilerini, diğer bazıları kişisel bilgileri filan çalıyor. İhale teklif dosyası çalan gibi kurumsal olanları da mevcut.
Ama Türkiye bu sefer ki, saldırı olayında iyi reaksiyon verdi. dDOS saldırılarında eleştirdiğimiz, Ulusal Siber Olaylara Müdahele Merkezi (USOM) bu sefer zamanında [4] tepki gösterdi. Bilgi Teknolojileri ve İletişim Kurumu (BTK) altında yer alan USOM nisan ayı içinde bu konuda uyarı yayınlamıştı. Yanısıra saldırının başlangıcından itibaren, kodların geldiği yabancı IP numaraları USOM bildirdikçe operatörler ve firmalar tarafından bloklandı. Halen de bloklanıyor.
Burada önemli bir noktayı hatırlatalım; USOM’un koordineli çalışması için firmalarda SOME’ler (Siber Olaylara Müdahele Ekipleri) kuruluyor. Devlet kurumları SOME’leri kurulmuş durumda. Özel sektörde de bankalar gibi kurumlar SOME’lere özen gösteriyor ama daha alınacak yol çok. Çünkü önemli özel sektör firmalarının da SOME kurması lazım. Gördüğünüz gibi, siber saldırılarda önemli olan devlet sitelerinin ya da belli bazı yerlerin güçlü olması değil. Siber Güvenlik, "en zayıf halkası kadar güçlü olabilen" bir zincir.
Özetle bu saldırı kapsamında Türkiye’de önemli bir sorun duyulmadı. Renault ile ilgili bir sorun yaşandı ama o da Fransa’daki network’ten gelen sıkıntı oldu.
Ancak bir uyarı yapalım; batı basınında "Double Pulsar" isimli bir arka kapı yerleştirilmiş olabileceğinden bahsediliyor. Bilgisayarların bu arka kapı konusunda incelenmesi lazım.
Bundan sonra ne olur?
Bu saldırının bundan sonra etkili devam etmesi çok mümkün değil. En şiddetli noktası geçmiş gözüküyor. Bunun nedenleri şu şekilde;
- Microsoft Yaması Yayınlandı
- Meydana gelen olaylar bu açık konusunda herkesi uyardı, farkındalık arttı
- Saldırının geldiği IP’ler dünya çapında bloklanıyor
- Kill Switch tespit edildi
Bu “Kill Switch” dediğimiz olay 22 yaşındaki ve ismini vermek istemeyen bir İngiliz güvenlik analisti tarafından kaza eseri bulundu. Anlaşılan sistem bir web sitesinden emir alıyor. Bu site engellendiğinde, saldırı duruyor diye raporlanıyor.
