Etiket arşivi: air gap

Vault7

CIA, internetsiz cihazlara ve kapalı ağlara bile sızmış

Yorum yapın

Wikileaks’in CIA’e ilişkin olarak Vault 7 serisi kapsamında yayınladığı 22 Haziran tarihli gizli belge Brutal Kangaroo (vahşi kanguru) adını taşıyor.

Brutal Kangaroo aslında CIA tarafından kullanılan bir programın adı ve bu program ajanlara dolaylı olarak kapalı bir ağa ya da yüksek güvenlikli olduğu düşünülen air-gap ağına sahip bilgisayarlara sızmaya imkan veriyor. Air Gap, internet gibi güvenliği tehdit edebilecek bir bağlantı kullanmak yerine bilgisayarlar arasında veri alış-verişi için bir bağlantı türü.

Air-gap bilgisayarlar internete bağlı olmadığı için bir flaş bellek ya da diğer çıkarılabilir sürücüler bu cihazlardan bilgi transferi sağlamak için tek yöntem. Cihazlardaki mevcut veriler kullanıcılar tarafından kopyalanabiliyor ancak özel bir ağın kısıtlamaları dahilinde yapılabiliyor.

İlgili haber>> Telefonları ‘inşallah’ diyerek hacklemişler!

CIA’ye göre Brutal Kangaroo’nun birçok bileşeni bulunuyor. Bunlardan biri ‘Shattered Assurance’ (yıpranmış teminat). Bir sunucu aracı olan bu bileşen, ‘drifting deadline’ denilen ve cihaza bağlanan herhangi bir USB sürücüsünü bozma kabiliyetine sahip aracı çalıştırıyor. Drifting Deadline USB sürücüsü taktığınızda makineye virüs bulaştıran bir araç.

Birçok kötü yazılım üzerine tıklanması halinde aktive olurken ‘Drifting Deadline’ için Windows Explorer’da görüntülenmesi gerekiyor. Virüs bulaşmış cihaz ana makine haline geliyor ve program bunu virüs dağıtım istasyonu olarak kullanıyor. Eğer ikinci bir kullanıcı USB sürücüsünü başka bir bilgisayara gönderirse bilgisayar da ikinci kademe bir kötü yazılımla virüs bulaştırılmış oluyor.

İlgili haber>> CIA ithal ‘malware’lardan yararlanmış

CIA’in bu program için öngördüğü sistem şu şekilde çalışıyor: Öncelikle hackerlar hedefteki organizasyona ait internet bağlantılı bir bilgisayara virüs bulaştırmak zorunda. Hedef kuruluşta çalışan bir kullanıcı, bu virüslü makineye bir USB sürücüsü taktığında sürücüye de virüs bulaşmış oluyor. Son olarak bu tehlikeli flaş sürücü kapalı ağa ya da air-gap ağına sahip bilgisayara ulaşıyor.

Siber Güvenlik

Black Hat’in açılış konuşması: Internete kapalı ağlar ‘sözde’ güvenli

1 Yorum

Yerel ağlara ve internete bağlı olmayan bilgisayar ağlarının kullanımı yüksek güvenlik gereken savunma amaçlı durumlarda öneriliyor. Bu ağlar air-gap adı veriliyor.

16 Ekim’de Amsterdam’da düzenlenen Black Hat konferansında konuşan Adi Shamir’e göre, kötücül yazılım içeren bir yazıcı bile, air-gap teknolojisini kullanan ağlardaki bilgilere ulaşmak için kullanılabilir. Ağa uzun mesafeden yollanan bir lazer ışını sisteme veri aktarabilir, ve bir insansız hava aracına bağlı bir video kamera da arzulanan veri geri dönüşünü yakalayabilir. Shamir kapalı ağlardaki bu zayıflığı ‘’scangate’’ olarak niteliyor.

Shamir, İsrail’deki Weizmann Bilim Enstitüsü’nde uygulamalı matematik profesörü olarak çalışıyor. Kendisi ayrıca RSA şirketinin ortakları (RSA’in S’i) arasında. Shamir’in, air-gap teknolojisini kullanan kapalı ağlara ilişkin uyarısı basit: Ağa çok amaçlı yazıcı kurmayın, çünkü bu yazıcılarda bulunan tarayıcılar bilgi alma ve yollamada kullanılabilir.

 

Kapalı ağlar: Teoride iyi

Kapalı ağlar gizli bilginin sağlandığı sistemlerde, mesela istihbarat ve askeriyeye ait sistemlerde, ya da havacılık ve nükleer enerji sektörü gibi yüksek riskli alanlarda tercih ediliyor. Pratiklik açısından bakıldığında kullanımları zor. ‘’Kapalı ağlar kağıt üzerinde basit görünebilir, ancak uygulamada sürdürülebilmeleri zor.’’ Bu sözler kriptolog Bruce Sheneier’in kaleme aldığı blog yazısında yer alıyor. Sheneier şöyle devam ediyor:

‘’İşin gerçeği kimse internetten dosya almayan ve internete dosya yollayamayan bir bilgisayar istemiyor. İstenilen şey doğrudan internete bağlı olmayan, fakat güvenli bir biçimde dosya alışverişi yapabilen bir bilgisayar. Ancak, bilgi alışverişi her gerçekleştiğinde saldırı için de potensiyel oluşuyor.’’

Kapalı ağlarda güvenliği sağlamanın zorluğunu gösteren örnekler arasında, İran’ın Natanz nükleer santrifüj tesislerindeki kapalı ağa Stuxnet virüsünün sızması ile uranyum zenginleştirme çalışmalarını felce uğratması sayılabilir. Bu örnekte zararlı yazılım taşınabilir usb bellek ile tesise sokulmuştu. Bu nedenle sadece tek taraflı bir saldırı idi.

Black Hat’teki konuşmasında, Shamir kapalı ağlardan veri almak ve kapalı ağlara veri yollamak adına kötücül yazılımların kullanılıp kullanılamayacağını test etti. Test için Shamir, kendisine yardım eden kripto araştırmacıları Yuval Elovici ve Moti Guri ile birlikte, İsrail hükümetinin ‘’siber güvenlik şehri’’ olarak seçtiği Beersheba’da bir binayı hedef aldı. HP Officejet Pro 8500 aygıtını özellikle inceledikleri araştırmada, alete bir kilometre öteden mavi lazer ile sinyal yollandığında alette mevcut bulunan zararlı yazılımın tarayıcı yolu ile sinyalleri okuyabildiğini buldular.

Ayrıca araştırmada bu mesafenin, yüksek enerji kızılötesi ışınlar kullanıldığında beş kilometreye kadar çıkartılabileceğini buldular. Bu mesafeden saldırının kaynağını belirlemek neredeyse imkansız hale gelebilir.

 

Lazer sinyalleri veri gönderiyor

Lazer, mors koduna benzer bir şekilde, farklı aralıklarla sinyal yayarak mesaj gönderebiliyor. Sistem televizyon kumandalarında bulunan sistemle aynı. Kumandalarda da aletin gönderdiği kızılötesi ışınlar televizyon tarafından alınarak komutlara çeviriliyor.

Black Hat konferansında konuşan Shamir, ‘’lazer çalışırken beyaz bir çizgi, kapalı olduğundaysa siyah bir çizgi görülüyor’’ dedi. Shamir’e göre, lazerin açılıp kapanma paternlerini analiz ederek, kötücül yazılım sinyalleri verilere dönüştürebilir. Bu verilerden biri de, çok_gizli.pdf dosyasının kopyasını oluşturarak yollaması olabilir. Kod eklemesi ile kötücül yazılımın ek işlevler kazanması sağlanabilir.

İdeal olarak, saldırıda tarayıcının kapağının açık olması gerekiyor. Ancak Shamir’in bulguları tarayıcının bir kitabı tararken dahi lazer sinyallerini kenarlardan algılayabildiğini gösteriyor. Ayrıca kötücül yazılım taranan görüntülerdeki çeşitli paternleri tanıyıp, taranan görüntünün dijital imzasından bu paternleri silmeye ayarlanabilir.

 

İHA ile veri çalmak

Kapalı ağdan veri sızdırmak için tarayıcının ışığı çeşitli paternlerde ışıyabilir ve de saldırganlar bu ışımayı kaydedip veriye çevirebilirler. Işık kaynağı cılız olduğu için, Shamir’in bulgularına göre güvenli bir mesafeden, mesela bir kaç kilometreden kayıt yapmak mümkün olmuyor. Bu bulgu üzerine araştırmacılar belirlenen GPS koordinatlarında durabilen ve görüntü kaydedip, görüntü sabitlemesi yapabilen bir İHA edindiler. Araştırmacılar İHA’nın binanın yüz metre üzerinde durduğu durumlarda çözülebilir sinyaller elde edebildiler.

Her ne kadar bu saldırılar deneysel olsa da, kapalı ağlardan bilgi çalmak için ek kanal olarak kullanılabilirler. Shamir’e göre çok amaçlı yazıcılar kapalı ağların en zayıf noktası ve bu aletler kapalı ağlardan çıkartılmalı.