Siber güvenlik pazarı, bilişim sektörüyle aynı ivmede büyümeye devam ederken bu büyümeyi aynı hızla karşılayacak yetişmiş eleman açığı, Türkiye dahil bir çok ülkenin sorunu olmaya devam ediyor.
Sektörün yetişmiş kalifiye çalışan açığını gidermek amacıyla geçtiğimiz yıl Lostar ve Bilgi Üniversitesi işbirliği ile başlatılan Bilgi Güvenliği Teknolojisi Ön Lisans Programı’nda yeni akademik yıl yeni öğrencilerle başladı.
Program, teorik bilgi ile sektör tecrübesini aynı çatı altında buluşturarak sektörün ihtiyacı olan iş gücünü yetiştirme motivasyonu ile oluşturulmuş.
Siber Bülten’e konuşan Lostar’ın CEO’su Murat Lostar’a göre asıl heyecan verici olan projenin ikinci yılında sektöre kazandırılmayı bekleyen bir çok stajyerin olması.
“Dönem başladı, yeni arkadaşlar aramıza katıldı, daha önemlisi şimdi ikinci sınıfların artık stajyer olarak çalışabilme imkanı var.” diyor Lostar.
Yetişmiş eleman ihtiyacı ve bir yöntem olarak stajyer alımı
Eğitim süresi iki yıl olan program, standart ön lisans programlarından farklı olarak daha fazla staj yapma fırsatı sunuyor.
Program dahilinde, eğitimin ikinci yılı boyunca öğrencilerin staj yapma zorunluluğu var. İlk dönem haftada iki güne karşılık gelen staj süresi, ikinci dönem haftada üç gün olarak belirlenmiş.
Lostar’a göre staj ağırlıklı program, “ağaç yaşken eğilir” mantığı ile hazırlanmış.
“Ağaç yaşken eğilir modelinin bir parçası olarak şirketler çalışanlarını henüz stajyerken alıp yetiştirecekler. Piyasada yetişmiş eleman sıkıntısı çok ve kurumlar bu konuda farklı alternatifler yaratmak zorunda.”
“Artık insanlar birbirlerine ‘senin güvenlik ekibin kaç kişi?’ demiyor, ‘senin güvenlik ekibin bugün kaç kişi?’ diyor. Eğitim programı bu sorunu çözmeye yönelik.” diye ifade ediyor tecrübeli CEO.
Lostar aracı şirket konumunda
Lostar’ın programa en büyük katkısı staj süreci ve mezuniyet sonrasında öğrencilerin doğru kurum ve kuruluşlarla çalışmasını sağlayan aracı şirket konumunda olması.
Şirket bunu program kapsamında staj için oluşturulan lostar.com.tr/stajyer sayfası üzerinden yapıyor.
Sayfa üzerinden stajyer arayan kurumlar bu web sayfasını ziyaret edip, gerekli formları doldurabiliyorlar.
“Lostar’ın burada amacı sektöre eğitimli ve deneyimli eleman kazandırmak.” şeklinde konuşan CEO Lostar’a göre öğrenciler yoğun eğitim ve staj programı sonrasında siber güvenlik endüstrisini çok iyi öğrenmiş bir şekilde sektörde çalışmaya hazır hale gelmiş olacak.
Türkiye’nin önde gelen siber güvenlik şirketlerinden Lostar, iki çalışanının Google ve Oracle sistemlerinde bulduğu önemli güvenlik açığı ile adından söz ettiriyor.
Teknoloji firmalarının siber suçlulardan bir adım önde olmak ve sistemlerinin daha güvenli olmasını sağlamak adına düzenledikleri ödül avcılığı programlarında buldukları açıklarla ‘oyunda biz de varız’ diyen Berk İmran ve Barış Sağdıç, zafiyet tespit ve ödül avcılığı süreçlerini Siber Bülten’e anlattı.
Ödül avcılığı (Bug Bounty) gelişen teknolojinin kurtarıcısı olarak siber güvenliğin sunduğu faydalı test yöntemlerinden biri. Ödül avcılığı kapsamında kurumlar sistemlerinde, web sitelerinde ya da yazılımlarındaki açıklıkları farklı bir göz aracılığıyla test ediyor ve rapor edilen zafiyet için ‘beyaz şapkalı hackerlara’ (white hackers) para ödüyor.
Büyük şirketlerin güvenlik ekiplerinin yazılımlarındaki açıklıkları bulmak için yeterli zaman ya da iş gücüne sahip olamamaları ödül avcılığını son 10 yılda oldukça arttırdı.
Program dahilinde güvenlik uzmanları binlerce dolar kazanırken, kurumlar ise hacklenme korkusunu en aza indirerek maddi ve manevi kayıpları önlüyorlar.
Lostar’da yaklaşık üç yıldır siber güvenlik danışmanı olarak çalışan Barış Sağdıç, ödül avcılığı programı kapsamında Google’da oldukça önemli bir zafiyet buldu.
Bu zafiyet ile birlikte ünlüler geçidi (Hall of Fame -HoF) listesine girmeye de hak kazandı.
İlgili güvenlik açığını 24 Temmuz tarihinde bulan ve aynı gün raporlayan Sağdıç, tespit ettiği açık için “Google ödül avcılığı tarihinde keşfedilen en önemli zafiyetler arasında” diyor. Bunun sebebi ise zafiyetin bir çok alt uygulamayı da etkilemiş olması.
Sık sık ödül avcılığı programlarına katılan Lostar’ın uygulama güvenlik danışmanının tek başarısı da bu değil.
Web uygulama güvenliği konusunda yüksek teknik bilgiye sahip olan kişilere verilen prestijli eWPTX (eLearnSecurity Penetration Tester eXtreme) sertifikasına Türkiye’de sahip olan tek kişi.
-‘Kullanıcı bilgileri ele geçirilebilirdi’
Sağdıç zafiyet araştırmasına Google’ın webstore yönetim sayfasında başlamış.
“Keşfettiğim zafiyet saklı türünde siteler arası betik çalıştırma zafiyetiydi (Stored Cross-site scripting, XSS). Zafiyet girdi kontrolü eksikliklerinden kaynaklanıyordu. Bulduğum açık Google’ın ödeme sistemindeki adres bilgilerindeydi,” diyor Sağdıç ve not ediyor:
“Google’ın bir çok yerinde ödeme sistemi entegre olduğundan neredeyse tüm alt uygulamaları bu zafiyetten etkileniyordu. Bu açık nedeniyle kullanıcı bilgileri ele geçirilebilirdi.”
Sağdıç keşfi sonrasında 4 Ağustos’ta Google’dan para ödülü almış, ve 10 Ağustos’ta ise bildirdiği açık giderilmiş.
Ödül avcılığı programlarının ivme kazanmasındaki en büyük itici güçlerden biri Google gibi büyük bir şirketin verdiği ödüller. Şirket, ilk ödül avcılığı programını başlattığı 2010 yılından bu yana 9 milyon doların üzerinde ödül dağıttı.
Bugüne kadar Google tarafından verilmiş en büyük ücret ise 100.000 dolar.
-Oracle açığıyla Hall of Fame listesinde
Lostar’ın ödül avcılarından bir diğeri ise Oracle’da bulduğu önemli açıkla adını Ekim ayında yayınlanacak Hall of Fame’e yazdıracak olan Berk İmran.
Ödül avcılığını, siber güvenlik alanında kariyer yapmak isteyen veya kendini teknik anlamda geliştirmek isteyen herkes için önemli fırsatlardan biri olarak gören İmran, henüz 21 yaşında.
Genç yaşına rağmen “ödül avcılığına başlayalı yıllar oldu” diyen İmran, Oracle dışında Sony, Yandex, eBay gibi birçok kurumda zafiyet bulmuş.
Oracle’da “stored xss” ve “ssrf” türlerinde iki açık keşfettiğini aktaran araştırmacı, açık bulma sürecini Siber Bülten’e şöyle tanımlıyor:
“10 Temmuz’da aramaya başladım, beş dakika sonra buldum. Beş gün boyunca bulduğum zafiyetle en kritik nokta neresi, nereye kadar ilerleyebiliyorum diye denedim ve 15 Temmuz’da zafiyeti rapor ettim. 18 Temmuz’da geri dönüş aldım, 1 Ağustos’ta ise zafiyet giderilmişti. Ekim ayında yayınlanacak olan Hall of Fame listesinde de benden bahsedecekler.”
Oracle’da bulduğu zafiyetin kritik seviyede olduğunu ifade eden İmran, burada amacının sadece Hall of Fame listesine girmek olduğunu söyledi.
-‘Amaç Türkiye’yi siber güvenlik alanında ileriye taşımak’
Türkiye’de ‘hackerone.com’ ya da ‘bugcrowd.com’ gibi ödül avcılarının işini kolaylaştıracak sitelerin bulunmadığını söyleyen İmran’a göre, Türk firmaları ve devlet ödül avcılığı kapsamında daha fazla adım atmalı.
“Facebook, Google ve hatta Pentagon bile bug bounty başlatırken Türkiye’de hiçbir kurum bu alanda adım atmıyor.”
Geçtiğimiz yıl internete sızan seçmen bilgilerini hatırlatan İmran, bu durumun ödül avcılığı yoluyla çözülebileceğini aktardı.
“Ülkede bug bounty kapsamı olsaydı bu bilgiler internete çok daha zor sızardı ve bunların hiçbiri yaşanmazdı. Böyle bir girişimde Türkiye’de kimsenin kar amacı güdeceğini düşünmüyorum. Sadece teşekkür edilse bile yeterli olacaktır.”
Bu alanda bazı atılımlarda bulunan İmran, üniversite öğrencilerini kapsayan bir siber güvenlik topluluğu ‘canyoupwn.me’ üyesi olduğundan bahsediyor.
“Kar amacı gütmeyen bir grup. Blog yazıları yazıyor, siber güvenlik çalışmaları yapıyoruz. Zafiyet nedir, nasıl oluşur, nasıl bulursunuz ve düzeltirsiniz gibi bir çok konuda bilgi veriyoruz.” diyor İmran.
Canyoupwn.me’de nereden başlayacağını az çok bilen belirli bir noktaya gelmiş ama bir tık daha üst seviyeye geçmek isteyenler için ise zafiyet amacı güdümlü makineler var.
“İlk makinemiz Kevgir’di. Dönemin tüm güncel zafiyetlerini Kevgir’e ekledik, güzel bir senaryo yaptık. Bu alanla ilgilenenler, makineyi indirdiler ve zafiyet bulmaya çalıştılar.”
İmran’a göre bu sistemin güzel tarafı hiçbir siteye zarar vermeden yasal bir şekilde kişilere kendini deneme fırsatı vermesi.
Siber Bülten abone listesine kaydolmak için formu doldurun
2016 yılında gerçekleşen ABD başkanlık seçimlerine Rusya’nın siber operasyonlar ile müdahalede bulunduğu iddiaları seçimlerin üzerinden yaklaşık bir yıl geçmesine rağmen gündemdeki yerini korumaya devam ediyor. FBI’ın başlattığı soruşturma sonrasında Başkan Donald Trump’ın görevden alınmasına dahi sebep olabileceği konuşulan ‘seçimlerin hacklenmesi’ iddiaları dünyanın en büyük hacker konferanslardan Defcon’da da yoğun olarak tartışılan konular arasındaydı.
Konferansa Türkiye’den katılan sayılı isim arasında bulunan Lostar Siber Güvenlik Hizmetleri Direktörü Erdem Kayar, siyaset ile teknolojinin birlikte anıldığı soruna blockchain teknolojisinin çare olacağına dair Defcon katılımcıları arasında genel bir kanaatin oluştuğunu söyledi.
Defcon izlenimlerini Siber Bülten ile paylaşan Kayar, “Defcon’da katılımcılar seçimlerin hacklenme ihtimalinin yüksek olduğunu düşünüyor ve bundan rahatsızlar. Bir çözüm yolu olarak tıpkı bankacılık ve dijital dünyada kullanıldığı gibi blockchain teknolojisinin seçim sürecine entegre edilmesi gerektiğini güçlü şekilde savunuyorlar. Siyasi manipülasyonlara karşı koymanın en etkili yöntemi olarak ise blockchaini görüyorlar.” ifadelerini kullandı.
Oyların ve diğer seçim verilerinin bulunduğu veri tabanında herhangi bir değişiklik yapılmadığından emin olabilmek için blockchain teknolojisine ihtiyaç olduğunu kaydeden Kayar, bu sayede demokrasiye yönelik oluşan güven zedelenmesinin giderilebileceğini sözlerine ekledi.
“Verilerin değiştirilemeyeceğinin garantisi olarak karşımıza blockchain çıkıyor çünkü veriler dağıtık şekilde, farklı veri dairelerinde ve şeffaf bir şekilde tutuluyor. Bu şekilde verilerin güvenliğinden emin olunacak. Mevcut sistemde oyların güvenliği ile ilgili bir ‘sağlama’ yapılamazken blockchain bu imkanı sağlayacak.”
Araba yıkama makinaları hacklendi
BlackHat’te her sene olduğu gibi bu sene de siber alanın yer altı dünyasından ilginç hack hikayeleri gün yüzüne çıktı. Şüphesiz en ilgi çekici haberlerden biri otomatik araba yıkama makinelerinin kontrolünün izinsiz ele geçirilmesiydi. Güvenlik algısıyla ilgili birçok tespitin yapılabileceği olayı değerlendiren Kayar şöyle konuştu:
“Yıkama makinelerini hackleyen kişiler bir zero-day dahi keşfetmiş değiller. Bilinen teknikleri kullanarak buldukları güvenlik zafiyetini istismar etmişler. Zaten artık bu tür saldırıları gerçekleştirmek için elit hacker olmaya gerek yok. Saldırı yüzeyi genişliyor tabi bu durumun ciddileştiğini de gösteriyor. Güvenlik açığını yıkama makinelerine sahip olan şirkete bildiriyorlar. Fakat geri dönüş olmuyor. Aylar sonra makinaları nasıl hacklediklerini anlatmak için Blackhat’e kabul aldıklarında, şirket de onları ciddiye almaya başlıyor ve davet ediyor.”
IoT dünyasının güvenliğindeki önemli bir soruna dikkat çeken siber güvenlik uzmanı, güncellemelerin yapılmamasının sebepleri arasında birbirine bağlı sistemlerin dağınık coğrafyada bulunmasını sayıyor ve ekliyor: “Bazı güncellemeler sadece teoride kalıyor. WannaCry’ın ardından yapılan güncellemeler sonrasında hala bazı üretim bantları ayağı kaldırılamadı. ICS sistemlerin ayağa kaldırılması çok maliyetli. Şirket Microsoft’un yama çıkardığını biliyor ama restart etme riskini alamıyor.”
Hackerlar da şirket gibi çalışıyor, küçük önlemler hayat kurtarabilir
Etkinliklerde dikkatini çeken bir başka noktanın hackerların ilgi ve çalışma alanlarının belirlenmesinde finansal kaygıların rol aldığını söyleyen Kayar, iOS örneğini veriyor: “iOS işletim sistemlerine sahip dijital cihazların saldırıya kapalı ve daha güvenli olduğuna dair haberler hackerların bu cihazlara yönelmesine neden oldu. Artık hackerlar da şirketler gibi çalışıp, akıllı organizasyonlar kuruyorlar. Apple ürünlerinde güvenlik açıklıklarının fiyatı artınca çalışmalarını o alanda yoğunlaştırıyorlar.
“Bir sunumda hacking grubunun şemasını paylaştılar. Karşımızda kurumsal bir organizasyon var. Adeta bir şirket gibi herkesin rolü ve görevi belli. Etkin, güçlü ve organize bir şekilde çalıştıkları çok açık.”
Hackerların ticari odaklı olmasını ve maliyet analizi yapmalarını güvenlik açısından değerlendiren Kayar, “Hackerlar da artık ‘bu mesai bu işe değer mi’ bakış açısına sahip olmaya başladılar. Dolayısıyla küçük ama caydırıcı önlemlerin alındığı sistemler hedef dışı kalabilir.”
Facebook güvenliğe 1 milyon dolar fon ayırdı
Blackhat konferansında açılış konuşmalarından birini gerçekleştiren Facebook CISO’su Alex Stamos şirketin siber savunma amaçlı yapılacak araştırmalar için 1 milyon dolar fon ayırdığını duyurmuştu. Konferansı yerinde izleyen Kayar ise Stamos’un katılımcılarla paylaştığı önemli bir detaya dikkat çekiyor: “Facebook’un 500 milyon aktif kullanıcısı var. Stamos mobil kullanıcılardan cihazı güncel olmayan 100 milyon kişinin olduğunu açıkladı. Güncel versiyon geçişlerini yapmamışlar. Bu tip istatistikler güvenlik çalışmaları için çok önemli. Kalıcı alışkanlık değişiklikleri sağlama noktasında insanları test ve takip ederek değişimi ölçümlendirip bireysel bazda ilerlemek gerekiyor. Toplu eğitimlerle güvenliğin en zayıf halkası olan insanı güçlendirmek kısa vadede mümkün gözükmüyor.”
ABD ziyareti sırasında sadece Defcon ve Blackhat’e katılmakla yetinmeyen Kayar, içlerinde Facebook, Twitter, Google ve Uber gibi teknoloji devlerinin bulunduğu şirketlerle de toplantılar yaptığını belirterek şunları söyledi: “Bu toplantılarda şirketlerin siber güvenlik operasyonlarını nasıl yönettiklerine dair önemli bir know-how birikimi elde ettik. Şirketimizin verdiği ABOME hizmetini katma değeri daha yüksek bir hale getirmek için yine bu şirketlerle çalışma içerisindeyiz.”
Benzer konferansların Türkiye’de düzenlenmesi için atılması gerekli adımlar hakkında da konuşan Lostar yöneticisi, Blackhat ve Defcon’un kurucusu Jeff Moss’un yaptığı kapanış konuşmasında Pekin hükümetinin izin vermesi halinde bir sonraki Defcon’u Çin’de yapmak istediklerini açıkladığını hatırlatarak, “Moss’un motivasyonu Çinli hackerları tanımak. Burada önemli noktalardan bir tanesi bölgedeki siber güvenlik bilgisi. Faaliyetlerimizi artırırsak, talebin kurumsal olarak ilerlemesini sağlayabilirsek İstanbul da 5 yıl sonra siber güvenlik konusunda dikkat çekici bir hub olabilir.” şeklinde konuştu.
Siber Bülten abone listesine kaydolmak için doldurunuz!
Yetişmiş eleman ve uzman açığı siber güvenlik sektörünün çözülmeyi bekleyen sorunları arasında yer alıyor. 2020 yılında 170 milyar dolarlık hacme ulaşması tahmin edilen siber güvenlik pazarının eleman ihtiyacı ise tüm dünyada 1 milyonu aşması bekleniyor. Siber güvenlik gibi ulusal güvenliği yakından ilgilendiren böyle bir konuda ülkemizde uzman yetiştirmeyi öncelikli hedefleri arasına alan Lostar sorunun çözümüne yönelik, sürdürülebilir ve sonuç odaklı projeler yaratmaya devam ediyor. Bilgi Üniversitesi’yle ortak geliştirdiği eğtim programı ile sektöre yetişmiş eleman sağlamaya çalışan şirket, geçtiğimiz günlerde Sakarya Üniversite’sinde Siber Güvenlik Yaz Kampı düzenledi.
Caner Filibelioğlu
Temmuz ayının ilk haftasında düzenlenen Lostar kampına ilgi oldukça yüksekti. Kampa katılmak için başvuran binden fazla öğrenci arasından sadece 23 kişiyi seçmek için günlerini sarf eden Lostar çalışanları, önce katılımcıların başvuru sırasında cevaplayacağı tek bir teknik soru olan bir form hazırladı.
İnternetten yayınlanan bu soruya doğru yanıt verebilen 300 civarındaki öğrenci 40 soruluk olan ikinci sınava alındı. İki aşamayı da geçen 60 kişiyle yapılan mülakatlar sonucunda 23 kişi kampa katılmaya hak kazandı. Kampı başarıyla tamamlayan 6 katılımcı geçen hafta şirkette yarı zamanlı olarak çalışmaya başladı.
Kamp sürecinin en başından beri içerisinde bulunan Lostar Siber Güvenlik Uzmanı Caner Filibelioğlu genç isimleri sektöre kazandırmanın mutluluğunu yaşadıklarını ifade ederek eğitim sürecinin devam edeceğini söyledi.
“Kamptan aramıza katılan arkadaşları zor bir süreç bekliyor. Ben Lostar’ı bir ‘Sızma Testi Okulu’ olarak görüyorum. Bu arkadaşlarımızı siber güvenliğin her boyutuyla ilgili gece gündüz yetiştirmeye çalışacağız. Önlerine makina koyup sızmalarını isteyeceğiz, kendi zafiyetli makinalarını kurmalarını isteyeceğiz. Kısacası bizim ofisin ışıkları bir süre daha sönmeyecek.”
Kamp sürecinde katılımcıların bilgi birikiminden ziyade araştırma kabiliyetlerine daha fazla dikkat ettiklerini söyleyen Filibelioğlu, ilk sınavda yer alan sorunun Google’da yapılacak bir arama ile bulunabilen bir cevabı olduğunu sözlerine ekledi. “Araştırma merakının yanında bir de tabi istek olmalı. Mesela o soruya yanlış cevap veren birini kampa aldık. Üstelik sorunun doğru cevabını bize sosyal medya üzerinden ulaştırdı. Biz kendisine kapıyı kapatmıştık. Ama kapıyı kırıp kampa girmeyi başardı.”
Filibelioğlu, sınav sorularına verilen cevaplar kadar adayların ‘Bilmediği konuya karşı geliştirdiği yaklaşım tarzlarının’ da seçmelerde etkili olduğunu ifade etti. “Kutunun dışında düşünmeye yatkın olması hem siber güvenlikte hem genel olarak iş hayatında çok önemli bir nokta. Mesela katılımcılardan biri zafiyet tarama aracını yüklemesini istediğimizde başarısız oldu. Fakat herhangi bir yardıma başvurmadan kendisi araştırarak aracı kurmayı başardı. İşte aradığımız bu.”
Siber güvenlik kampıyla kariyerlerinde yeni bir sayfa açan Lostar’ın genç çalışanlarının stajyer olarak değil yarı zamanlı eleman olarak işe başlayacaklarını not etmekte fayda var. Türkiye’deki uzman açığının kapanmasına yardımcı olmak için eğitim programları düzenleyen tek şirket Lostar değil. Özellikle son yıllarda bir çok firma eğitim kampı düzenliyor. Bu konudaki yorumu sorulan Filibelioğlu kampların hem şirketler hem de katılımcılar açısından bir kazan-kazan modeli oluşturduğunu belirtti:
“Keşke çok daha fazla eğitim kampı olsa. Şirketlerin eleman yetiştirme konusunda rekabet etmesi gerektiğini düşünüyorum. Bu sayede sektörü ileri götürebiliriz. Bizim eğitim verdiğimiz insanların birkaç sene sonra eğitimci olması çok güzel olur. Biz şimdiden tohumunu atarsak, ilerde torunlarımız daha güçlü bir Türkiye’ye uyanabilir.”
Siber güvenlik alanında kariyer yapmak isteyen öğrencilere tavsiyelerde bulunan Filibelioğlu 3 nokta üzerinde ısrarla duruyor:
“Linux eğitimi bir zorunluluk. Bilmeden olmaz. Önce ondan başlamak iyi fikir. Daha sonra sistem bilgisi lazım. Altyapıda neler olduğunu anlamak için mutlaka üzerinde çalışılması gereken bir konu. Üçüncü olarak da güvenlik teknolojilerine hakim olmak gerekiyor. Eğer bir sızma testi uzmanı olmak istiyorlarsa, kullanılan ürünleri atlatmaları gerekecek, bu da ürünün nasıl çalıştığı konusunda en azından bir fikir sahibi olmayı gerekli kılıyor. Gerçek hayat yarışmalardaki CTF’lere benzemiyor. Ancak tabi ki CTF’lerin kişilerin gelişimi üzerindeki etkisi de yadsınamaz.”
Kamplar sadece tek taraflı bir etkileşim süreci olmuyor. Eğitim alanlar kadar eğitimcilere de katkısı oluyor. Filibelioğlu da böyle düşünenlerden: ” Onca iş yoğunluğu arasında zaman ayırmak bir miktar zorlayabiliyor, ama sınıfta parlayan gözleriyle size bakan gençleri görünce siz de motive oluyorsunuz.”
Dünyada ve Türkiye’de siber güvenlik uzmanı açığının kısa zamanda kapanması beklenmiyor. Hem defans hem ofans tarafında eleman açığının bulunduğunu belirten Filibelioğlu ‘Keşke sektör tarafından düzenlenen siber güvenlik kamplarının sayısı artsa’ temennisiyle röportajı tamamlıyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Dijital dünya Mayıs ve Haziran aylarında küresel ölçekte iki fidye yazılım saldırısı atlattı. İlk şok WannaCry ile yaşanırken haziran ayında sistemler bu kez de NotPetya ile sarsıldı.
Saldırıyı değerlendiren uzmanlar, art arda gelen fidye saldırıların farkındalığı arttırdığı ve sistemlerin daha güncel hale geldiği konusunda hemfikir olsa da tedbiri elden bırakmama noktasında ısrarcılar.
“Saldırılar sonrasında meydana gelen durum tıpkı kuş gribine benziyor. Kuş gribi salgını gündeme geldiğinde nasıl tavuk yeme konusunda daha dikkatli olduysak, fidye yazılımlarından sonra da güvenlik konusunda da farkındalığımız yükseldi. Bilgi güvenliği farkındalığı arttı, güvenlik sıkılaştırmaları daha önemli hale geldi.” ifadelerini kullanan Lostar Siber Güvenlik Hizmetleri uzmanı Besim Altınok eklemeden edemiyor: “Tabi ki tehdit azalmadı. Tahmin etmediğimiz bir yerden saldırı gelme ihtimali her zaman mevcut. WannaCry SMB (Server Message Bloc) protokolündeki bir zafiyeti istismar etmişti. Başka bir fidye yazılımı RDP’deki (Remote Desktop Protocol) bir açıklıktan faydalanabilir.”
2016 yılında ortaya çıkan Petya zararlı yazılımının farklı ekipmanlarla donatılarak daha güçlü bir versiyonu olan NotPetya’nın öne çıkan özelliklerinden biri Mimikatz ile kullanıcı parolalarını ele geçirmeye çalışması. Bu sayede sistemdeki diğer makinelere de zararlı kod bulaştırmayı hedefliyor. Siber saldırganların boş durmayarak mevcut zararlı yazılımları güncellediğine işaret eden Altınok, NSA’in Shadow Brokers grubu tarafından sızdırılan exploit kodlarının yeni versiyonlarının gelebileceği ön görüsünü de paylaştı.
“2 ayda peş peşe gelen saldırıları zararsız atlatanlar için rehavet en büyük tehlike olabilir. Bu süre içerisinde sistemde yeni geliştirmeler yapıldıysa sistemler farklı tehditlere açık hale gelmiş olabilir.” diyen Altınok farklı bir tehdide daha dikkat çekti.
Çözüm uyarıları yaparken dikkat!
Saldırılar sonrasında bilgi güvenliği farkındalığının artmasında medyanın rolü büyük. Fidye yazılımlardan korunma ve eğer bulaştıysa kurtulma yollarıyla ilgili özellikle sosyal medya ve bloglarda bolca yazılıp çiziliyor. Fakat hem bu metotlar tanıtılırken tüm ayrıntıların açık şekilde ifade edilmesi hem de tehdidi olduğundan daha büyük gösterme yaklaşımlarına girilmemesi gerekiyor.
Bir zararlı yazılımın tehdidinin boyutunu tek bir yayılma tekniğini göz önünde bulundurarak yapılan analizlerin sağlıklı sonuçlar veremeyeceğine değinen Altınok, daha iyi istatistik ve güvenlik önerilerinin oluşması için zararlının yayılma metotlarının dikkate alınması gerektiğini ifade etti.
Ortaya çıkan zararlı yazılımlar (fidye yazılımları gibi) ile ilgili çözüm önerileri verilirken, keskin öneriler yerine daha esnek öneriler verilmelidir. “Örneğin WannaCry ve NotPetya zararlılarının SMB protokolüne yönelik olan bir zafiyeti sömürerek cihazlara yayılabildiğini biliyoruz, bu noktada zafiyet ile ilgili olan yamanın uygulanması ve SMB hizmetinin verildiği servisin kapatılması, sadece bir yayılma tekniğini devre dışı bırakacaktır. Ancak biliyoruz ki zararlı yazılımların yayılma tekniği olarak kullandığı, “taşınabilir aygıtlar, e-posta ve 3.parti uygulamalar” gibi birçok farklı yöntem bulunmaktadır. Bu nedenle farkındalık oluşturmaya çalışırken rehavet oluşturmamaya dikkat edilmeli ve önerilerde esnek ve geniş bakış açıları kullanılmalıdır.” ifadelerine yer verdi.
DDoS mu fidye yazılımlar mı daha tehlikeli?
Fidye yazılımlarla ilgili tahminleri sorulan Besim Altınok, yıl sonuna kadar bir ya da iki saldırıya karşı tetikte olmak gerektiğinin altını çizdi. Son saldırılardan sonra fidye yazılımın doğal olarak gündeme geldiğine dikkat çeken uzman siber saldırganların sadece saldırı vektörleri açısından değil aynı zamanda hedefler açısından da farklı yollara başvurabileceğini söyledi.
Dünyada daha sık dile getirilen kritik altyapılara yönelik fidye saldırıları ile ilgili yorumu sorulan araştırmacı “Bu tür saldırılar kesinlikle ses getirir. Erişmesi zor, daha sıkı korunan kritik altyapılarda bir fidye saldırısı olduğunda, saldırganlar oluşacak terör ve panik havasından faydalanarak daha fazla fidye kopartmaya çalışacaklardır.” dedi.
Besim Altınok, Siber güvenlik dünyasının son saldırılar nedeniyle odaklandığı fidye yazılımların yanı sıra diğer saldırı türlerine yönelik de uyanık kalmanın şart olduğunu aktardı.
Fidye zararlıları ile farklı kategoride olan DDoS saldırılarının hala çok zararlı olduğu konusunda uyarılarda bulunan Altınok, DDoS’un daha kolay gerçekleştirilebilen bir saldırı olduğunu söyleyerek özellikle organizasyonların itibarını sarstığı için DDoS’u daha tehlikeli bulduğunu sözlerine ekledi.
Siber Bülten abone listesine kaydolmak için doldurunuz!
