Siber güvenlik sosyal bilimlerin birçok alanıyla olduğu gibi strateji ve güvenlik çalışmaları ile de yakın ilişki içerisindedir. Bu bölümde ülkelerin siber güvenlik stratejileri ile ilgili izledikleri politikaları, attıkları adımları, özel sektör ile ilişkiler, faili bulma, bilgi paylaşımı gibi kritik konularda ki yasal düzenlemelerle ilgili haber ve yorumlar bulunmaktadır.
Noel tatilinin arefesinde, İngiltere’de ulusal hava trafik kontrol merkezindeki bir kod hatasının, binlerce yolcunun ulaşımını aksattığı ortaya çıktı.
Geçtiğimiz yıl Noel tatilinden önceki Cuma günü, İngiltere’deki hava trafiği durdu. Yüzlerce uçak havalanamazken, onlarcası da inişe geçemediği için hava sahasında daireler çizerek beklemek zorunda kaldı. Bunun sonucunda da on binlerce yolcu, kendilerine iletilecek haberleri bekleyerek saatler harcadı. Hava trafik kontrol sistemindeki bu aksaklık, en küçük bir hatanın akıl almaz sonuçlara sebebiyet verebileceğini göstermesi bakımından önemliydi. Söz konusu hava trafiği olunca, böylesi küçük bir hata, günler süren aksamalara ve iptallere yol açabiliyordu. İngiltere’nin en büyük havayolu merkezlerinin tekrar eski hızlarıyla çalışmaya başlayabilmeleri için neredeyse bir haftalık bir süre geçmişti.
Tüm bu devasa aksalığın arkasında, uçuş plan sisteminde bir satırlık yanlış kod bulunuyordu.
Pazartesi günü Birleşik Krallık Sivil Havacılık Kurumu tarafından, 12 Aralık’taki hava trafiği aksama olayı hakkında bir ara rapor yayınlandı. Asıl detaylı ve kapsamlı raporun Mayıs ortasında yayınlanması bekleniyor. Sorunun ana sebebinin, neredeyse tamamen hatalı yazılım olduğu raporda belirtiliyor.
İngiltere hava sahası trafiğini işleten NATS isimli havacılık şirketi, tarihinin en kötü halkla ilişkiler gününü, sözkonusu aksamalar gerçekleşirken yaşamıştı. Şirketin genel müdürü Richard Deakin, sorunu BBC News’e şu şekilde anlattı: “Sorun, ilave terminaller kullanmaya başlanılırken, daha önce görmediğimiz bir yazılımla karşılaşmış olmamızdı. Bu da, uçuş planlarını takip eden bilgisayarların çevrimdışı kalmasına neden oldu. Tüm sorun 45 dakika içinde çözüldü.”
Deakin’in açıklamasının can alıcı noktası ise şu kısımdı: Swanwick’teki operasyon merkezlerinde 50 farklı sistemin kullandığı dört milyon satırlıkkodların içinde sadece bir satırlık kod, hatalıydı, ve bu tüm sorunların hepsine sebebiyet vermişti.
Uçuşların maksimum kapasitesini düzenleyen ve “atomik fonksiyon” adı verilen sistemin, “izleme moduyla” ilgili bir sıkıntı, sorunun arkasında bulunuyor. Hard-kod içinde bulunan bilgilerle atomik fonksiyon bilgilerinin uyuşmaması neticesinde, izleme modu hatası tekrarlandı.
Hem aktif hem de yedek sistemlerde aynı hatanın gerçekleşmesi, uzmanlara göre tarihte ilk defa gerçekleşti.
Kendilerini “Çöl Kartalı” olarak adlandıran bir grubun, Ortadoğu bölgesindeki siyasi, ekonomik ve askeri hedeflere bir süredir siber saldırılar düzenlediği ortaya çıktı.
Bilgisayar ve internet güvenliği üzerine çözümler sunan Kaspersky Lab adlı şirketin uzmanları, Meksika’da düzenlenen konferans sırasında Ortadoğulu bir grubun faaliyetleri hakkında bilgi verdi. İki yıldır faaliyette oldukları belirlenen korsanların, Windows ve Android temelli kötü amaçlı yazılımları kullanarak saldırıları gerçekleştirdiği ve 3 bin kadar kişiyi de ağlarına düşürdükleri ortaya çıktı.
Şirketin yayımladığı raporda, “Bölgedeki güvenliğin zayıflığı alarm veriyor. Çöl Kartalı’nın düzenlediği saldırılara bankalar, hükümetler ve askeri birimler de yenik düştü” denildi. Saldırılarda sosyal medya mecralarının, düzmece sitelerin ve sahte sosyal medya sitelerinin kullanıldığını belirten uzmanlar, her kurban için ayrı bir yöntemin de kullanıldığına dikkat çekti. Raporda, “Korsanlar, değişik teknikler kullanarak kurbanının gönderdiği dosyayı açmasını sağlıyor. Bu şekilde hedeflenen yol açılmış oluyor” ifadeleri yer aldı.
Uzmanlar, Çöl Kartalı’nın üç farklı operasyon düzenlediği ortaya çıkardı. 2013 Mart ayından bu yana süren bir operasyonda Filistin, Ürdün, Mısır ve Körfez ülkelerinin siyasi ve askeri kademelerinde bulunan kişiler hedef alındı. Bir yıldır devam eden ikinci saldırıda ise İsrail hedef alınırken Kasım 2013’ten bu yana devam eden üçüncü operasyonda da Mısır’a saldırılar düzenlendi.
Kurbanların, virüslü yazılımları bir şekilde indirmeleri sağlandığı belirtildi. Ayrıca uzmanlar, kişilerin sosyal medya mecralarına olan güveninin de belli bir dereceye kadar faydalanıldığını belirtti. Facebook sohbetlerini kullanarak saldırı düzenleyen ilk grup oldukları da iddia edildi. Site üzerindeki sayfalarla güven sağlayan sanal korsan daha sonra sohbet programı sayesinde karşı tarafa, içinde Trojan olan fotoğraflar göndermeyi başarmış. Ayrıca site üzerinden sahte sayfalara yönlendiren kurbanlar, bu şekilde korsanların ağına da düşürülüyor.
Şirket uzmanlar, Çöl Kartalı’nın iki farklı yazılım sayesinde kurbanlarını takip ettiğini belirledi. Geçen Haziran ayına kadar aktif olan program sayesinde karşı tarafın bilgisayarını takip ederek ses kaydı yapıldığı, bilgisayar ekran fotoğraflarının alındığı, dosya yüklendiği ve alındığı, ayrıca şifrelerin çalındığı ifade edildi.
Uzmanların bu sene programın yeni bir versiyonunu keşfettiği, bu versiyonun kendisini güvenlik yazılımlarından bile gizli tutabildiği belirlendi. Bu versiyonla Android kullanan telefonlara da saldırılar düzenlendiği, çünkü SMS kayıtlarının ortaya çıktığı ifade edildi.
Uzmanlar, 30 kadar kişinin olduğu sanıldığı grubun ana dillerinin Arapça olduğunu kaydetti. Bu bilginin ise kimlikleri ortaya çıkan bazı kişilerin Arap olmasından ve bilgisayarlarındaki yazılımların Arapça olmasından hareketle elde edildiği söylendi. Bazı korsanları, elde ettikleri bilgileri ise kendi sosyal medya hesapları üzerinden paylaştığı da belirlendi.
ABD Ulusal Güvenlik Ajansı’nın (NSA) bazı firmaların ürettiği sabit sürücülere bu cihazlarla yapılan işlemlerin dışarıda izlenmesini sağlayacak yazılım yerleştirildiği iddia edildi.
Yazılımı ortaya çıkaran güvenlik şirketi Kaspersky’e göre 30 ülkedeki bilgisayarların etkilendiği ve Stuxnet’e benzeyen yazılım, ‘Denklem Grubu’ adlı ekibini yürüttüğü 20 yıldır devam eden bir operasyonun parçası.
Western Digital, Seagate, IBM, Micron, Samsung ve Toshiba gibi firmaların sürücülerinde bulunan yazılımla alakalı NSA yorum yapmazken, eski bir istihbarat yetkilisinin Reuters’a verdiği bilgiye göre Ulusal Güvenlik Ajansı bu yazılımın sürücülere sağlanması için ciddi bütçe ayırmıştı.
Kaspersky’nin konuyla ilgili yayınladığı raporda bu zamana kadar bilinen espiyonaj yazılımlarının hepsinden daha karmaşık tekniklerle üretilen yazılımın, datayı elde etme ve kendini gizlemede gayet ‘profesyonelce’ üretildiği ifade edildi. Sabit disklerin yazılımı tekrar yazabilme kabiliyetine sahip casus yazılım sayesinde virüs taramalarından ve diskin formatlanmasından kurtulabiliyor. Casus yazılım sadece izleme/gözetleme yapmıyor aynı zamanda bilgisayardan internete bağlı olduğu müddetçe veri çalabiliyor.
Yazılımın en fazla bulunduğu ülkeler arasında sırayla İran, Rusya, Pakistan, Afganistan, Çin, Mali, Suriye, Yemen ve Cezayir bulunuyor. Hedeflerin askeri ve kamu kurumlarının yanında telekomünikasyon şirketleri, bankalar, enerji firmaları, nükleer araştırmacılar, medya organları ve dini gruplara mensup kişiler olduğu belirtildi. Uzmanlar causus yazılımın Stuxnet’e benzediğinin üzerinde durdu.
Yazılımın sürücülere nasıl yüklendiği konusunda bir açıklama yapılmadı. Yüklemenin fiziksel olabileceği belirtilirken, NSA’in üreticilerden kaynak kodlarını istemiş olabileceği veya bu firmalara yazılım geliştiren şirketlere sızmış olabileceği ihitmalleri de değerlendiriliyor. Western Digital, Seagate ve Toshiba böyle bir operasyondan haberleri olmadığı açıkladı. Diğer şirketlerden bir açıklama gelmedi.
Kaspersky raporunun ABD Başkanı Obama’nın siber güvenlik paketini açıklamasının hemen ardından gelmesi dikkat çekti. Son gelişmenin Çin yönetimini yaptığı siber casusluk operasyonları nedeniyle uluslararası kamuyounda eleştiren Washington’un elini zayıflatacağı düşünülüyor. Snowden sızıntılarının ardından NSA’in bu kadar çaplı bir casusluk operasyonun arkasından çıkması ABD’ye olan güvenin azalmasına ve bilişim sektöründe Amerikan menşeli şirketlerin durumunu iyice zora sokacağı ihtimalini güçlendiriyor. Obama’nın Snowden sızıntılarından sonra kurduğu İstihbarat ve İletişim Teknolojileri Değerlendirme grubu üyesi Peter Swire operasyonun ABD’ye yansımalarının olumsuz olacağını dile getirdi.
Kaspersky Lab, INTERPOL, Europol ve farklı ülkelerin yetkilileri benzeri görülmemiş bir siber soygunun arkasındaki suç planını ortaya çıkarmak için güçlerini birleştirdi. Yaklaşık iki yıl içinde dünya çapındaki finans kuruluşlarından bir milyar Amerikan dolarına yakın miktarda para çalındığı tespit edildi. Uzmanlar, soygunun sorumluluğunun Rusya, Ukrayna ve Avrupa’nın başka bölgelerinin yanı sıra Çinli siber suçlulardan oluşan çok uluslu bir çeteye ait olduğunu bildirdiler. Bu zamana kadar Çinli hackerlar devlet destekli siber espiyonaj operasyonları ile gündeme geliyorlardı.
Siber hırsızlıktan sorumlu Carbanak suç çetesi bir dizi hedefli saldırı tekniğinden yararlanmış. Bu olay, siber suç faaliyetlerinin gelişiminde, kötü niyetli kullanıcıların doğrudan bankalardan para çaldığı ve son kullanıcıları hedeflemekten kaçındıkları yeni bir aşamanın başlangıcı.
2013 yılından bu yana suçlular, yaklaşık 30 ülkede 100 banka, e-ödeme sistemi ve başka finansal kuruluşlara saldırı girişiminde bulundu. Saldırılar hala etkinliğini koruyor. Kaspersky Lab verilerine göre Carbanak; Rusya, ABD, Almanya, Çin, Ukrayna, Kanada, Hong Kong, Tayvan, Romanya, Fransa, İspanya, Norveç, Hindistan, İngiltere, Polonya, Pakistan, Nepal, Fas, İzlanda, İrlanda, Çek Cumhuriyeti, İsviçre, Brezilya, Bulgaristan ve Avustralya’daki finansal kuruluşları hedef alıyor.
En büyük meblağların bankalara düzenlenen korsanlık sonucu elde edildiği ve her saldırıda on milyon dolara yakın miktarlarda paranın çalındığı tahmin ediliyor. Para çalmak amacıyla bankanın kurumsal ağındaki ilk bilgisayara bulaşılması ile başlayan süreç her banka soygunu için ortalama olarak iki ile dört ay sürdü.
Siber suçlular, kimlik avı yöntemiyle bir çalışanın bilgisayarına erişim sağlayıp kurbanın bilgisayarına Carbanak kötü amaçlı yazılımını bulaştırarak işe başladı. Daha sonra kurum içi ağa ulaşarak video gözetimi için yöneticilerin bilgisayarlarının izini sürmeyi başardılar. Bu da, nakit aktarım sistemlerini çalıştıran personelin ekranlarında olup biten her şeyi görmelerini ve kaydetmelerini sağladı. Bu şekilde dolandırıcılar, banka memurunun yaptığı işlemlerin tüm ayrıntılarını öğrendiler ve böylece para transferi ve ardından nakit çıkışı yapmak için personelin yaptığı işlemleri taklit etmeyi başardılar.
Para nasıl çalındı
1) Zamanı geldiğinde de dolandırıcılar, parayı kendi banka hesaplarına transfer etmek için çevrimiçi bankacılık ya da
uluslararası e-ödeme sistemlerini kullandılar. İkinci durumda ise, çalınan para Çin’deki ya da Amerika’daki bankalara yatırıldı. Uzmanlar, diğer ülkelerdeki bankaların alıcı olarak kullanılmış olabileceği olasılığını henüz elemedi.
2) Diğer durumlarda siber suçlular, muhasebe sistemlerinin tam merkezine nüfuz ederek, hileli bir işlem yoluyla ekstra
parayı ceplerine indirmeden önce hesap bakiyelerini şişirme yöntemini kullanmıştır. Örneğin, bir hesapta 1.000 dolar varsa suçlular bu tutarı değiştirip 10.000 dolar yaparak aradaki 9.000 dolarlık farkı kendi hesaplarına aktarmıştır. Orijinal 1.000 dolar hala yerinde olduğundan hesap sahibi bir sorun olduğundan şüphelenmemiştir.
3) Ek olarak, siber hırsızlar banka ATM’lerinin kontrolünü ele geçirerek, bunlara önceden belirledikleri bir zamanda nakit çıkışı yapmaları emrini vermiştir. Ödeme zamanı geldiğinde çete elemanlarından biri, ‘gönüllü’ olarak yapılan ödemeyi almak için makinenin yanında bekliyordu.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Sergey Golovanov yaptığı açıklamada
şunları söyledi: “Bu banka soygunları oldukça şaşırtıcı idi, çünkü bankaların hangi yazılımı kullandıklarının suçlular için hiçbir önemi yoktu. Yani, bankanın kullandığı yazılım benzersiz olsa bile bu banka olanlara kayıtsız kalamaz. Saldırganların bankaların hizmetlerini heklemesine dahi gerek yoktu: Bankanın ağına bir kez giriş yaptıktan sonra kötü niyetli faaliyetlerini meşru eylemlerin arkasına gizlemeyi öğrendiler. Bu çok ustaca ve profesyonelce
gerçekleştirilmiş bir siber soygun eylemiydi.”
INTERPOL Dijital Suç Merkezi’nin Direktörü Sanjay Virmani ise şunları söyledi: “Bu saldırılar, suçluların herhangi bir sistemdeki herhangi bir güvenlik açığından yararlanabileceği gerçeğine dikkat çekmektedir. Ayrıca, hiçbir sektörün saldırılara karşı güvende olduğunu farz edemeyeceğini ve bu nedenle güvenlik prosedürlerini sürekli gözden geçirmeleri gerektiğinin önemini vurgulamaktadır. Siber suç faaliyetlerinde yeni trendleri belirlemek, bu gelişen tehditlere karşı kendilerini daha iyi koruyabilmeleri konusunda hem kamu hem de özel sektöre yardımcı olmak amacıyla INTERPOL ile Kaspersky Lab’ın odaklandığı kilit alanlardan biridir.”
Kaspersky Lab, tüm finans kuruluşlarına ağlarını Carbanak’ın varlığına karşı dikkatle incelemeleri ve tespit ettikleri
durumda emniyet güçlerine raporlamaları konusunda çağrıda bulunuyor.
Bilgisayar güvenliği şirketi Kaspersky Lab’in raporuna göre dünya genelinde 100’den fazla banka ve mali kurum ‘siber hırsızlık’ mağduru oldu.
Şirketin 2013 yılından bu yana yürüttüğü araştırma sonucunda siber saldırı yöntemiyle yapılan hırsızlıkta yaklaşık 1 milyar dolar çalındı.
Raporda, siber suç çetesinin Rusya, Ukrayna ve Çin’den üyeleri olduğu belirtildi.
Kaspersky, Interpol ve Europol işbirliğiyle yürüttüğü araştırma sonunda aralarında Rusya, ABD, Almanya, Çin, Ukrayna ve Kanada’nın da bulunduğu 30 ülkede siber soygun yapıldığını tespit etti.
Interpol’ün dijital suçlar merkezi müdürü Sanjay Virmani, “Bu saldırılar, suçluların savunmasız her tür sistemi istismar edebileceklerine dikkat çekiyor” dedi.
Kaspersky, ‘nihai müşteriler yerine doğrudan bankadan hırsızlık yapan çetenin’ siber saldırıda yeni yöntemlere işaret ettiğini belirtti.
Kaspersky’nin ‘Carbanak’ olarak adlandırdığı siber hırsızlık çetesi şirketlerin ağlarına girebilmek için bilgisayara virüslerini kullandı. Virüsler aracılığıyla aralarında güvenlik kameralarına da girildi ve çalışanların ekranlarındaki her tür bilgiye erişim sağlandı ve tüm bilgiler kaydedilebildi.
‘Ustaca ve profesyonelce’
Çete, bazı durumlarda da bankaların hesaplarından kendi hesaplarına para aktarabildi. Bankamatikler de belirlenen bir zamanda kendiliğinden para dağıtımı yapabilecek şekilde ayarlandı.
Kaspersky siber hırsızlığın her eylemde ortalama iki ila dört ay sürdüğünü ve her defasında da 10 milyon dolara yakın bir miktar çalındığını belirtti.
Kaspersky Lab’in baş güvenlik araştırmacısı Sergey Golovanov, “Çok ustaca ve profesyonelce yapılan bir siber hırsızlık” dedi.
Bankalar siber saldırı tehdidine karşı uyaran Mali Hizmetler Bilgi Paylaşımı ve Analiz Merkezi, üyelerinin Kaspersky’nin raporunu Ocak ayında gördüklerini ifade etti.
Merkez yazılı açıklamasında, “Üyelerimizin bireysel eylemleri hakkında yorum yapamayız ama üyelerimizin bu tip eylemlerin tespit edilip engellenmesi ve müşteriler üzerindeki etkilerinin en aza indirilmesi için uygun adımları atacaklarına inanıyoruz” dendi.
