Ali’nin Adaleti adıyla bilinen bir hacktivist grup, hafta başlarında rejim karşıtı bir mesaj yayınlamak üzere İran İslam Cumhuriyeti Kanalının (IRIB) web akışını ele geçirdi. 1 Şubat Salı günü gerçekleşen olayda, tehdit aktörleri IRIB’in web tabanlı TV ve radyo yayın platformu Telewebion’u hedef aldı.
Ali’nin Adaleti grubu, İran-BAE futbol maçının canlı yayını sırasında internet akışını ele geçirdi ve halkı 1979 Devrimi’nin her yıl 1 Şubat ile 11 Şubat arası 11 günlük kutlamasında Hamaney rejimine karşı ayaklanmaya çağıran 50 saniyelik kısa bir video yayımladı.
Mesaj, Telewebion platformu kontrolü yeniden ele geçirene dek birkaç saat boyunca çeşitli aralıklarla tekrarlandı. Platform, günün ilerleyen saatlerinde yaşanan saldırıyı kabul açıklayan bir tweet attı.
IRIB YAYINI DAHA ÖNCE DE HACKLENMİŞTİ
Söz konusu saldırı yalnızca web akışını kesintiye uğrattı ancak geçen hafta da IRIB yayından hacker saldırısı nedeniyle aksamalar yaşanmıştı. 27 Ocak’ta, kimliği belirsiz bir grup hackerın, ülkenin Hamaney muhalifi Mücahit Halk Örgütü’nün liderleri olan Maryam ve Mesud Rajavi’nin fotoğraflarını göstermek amacıyla IRIB TV’nin sinyalini yaklaşık 10 saniye boyunca ele geçirmişti. Sinyal üzerindeki yaklaşık 10 saniyelik kontrol kaybı esnasında “Rajavi’ye selam, Hamaney’e ölüm!” diyen bir ses duyulmuştu.
Telewebion’un hacklenmesinden önce, Ali’nin Adaleti grubu daha önce Tahran’da İran’ın siyasi mahkumlarını tuttuğu bir hapishane olan Evin’in dâhili CCTV sistemini hacklemiş ve geçen yıl Ağustos ayında da yoğun mahkum istismarını gösteren videoları sızdırmıştı.
Ukrayna’daki onlarca devlet kuruluşu, kendilerine ait web sitelerine yönelik düzenlenen siber saldırılarda hedef alındı. Peki gerçekte ne oldu?
Geçtiğimiz haftalarda Ukrayna’daki onlarca devlet kuruluşu, hackerların web sitelerinin ana sayfalarını politik içerikli bir mesajla değiştirdikleri bir web sitesi tahrif kampanyasının hedefi oldu. Hackerların aynı zamanda kurumlardan veri çaldığı iddia edilse de, hükümet iddiaların doğru olmadığını açıkladı.
Öte yandan Microsoft, web siteleri tahrif edilmiş olanlar da dahil olmak üzere Ukrayna’daki birçok devlet kuruluşunun sistemlerinde “silici kötü amaçlı yazılımlar” tespit ettiğini açıkladı. Söz konusu yazılımlar genellikle önemli sistem dosyalarını siliyor veya üzerine yazıyor, böylece sistemler önyükleme yapamıyor az veya başka şekilde çalışamaz hale gelir.
Silici yazılımın gerçekten de bir sistemde başlatılıp başlatılmadığı veya gelecekteki bir silme işlemine hazırlık olarak bu sistemlere yüklenip yüklenmediği henüz netlik kazanmış değil.
Kim Zetter, yankıları süren olaylar zincirini anlamaya yardımcı olacak bilgileri derledi.
NE OLDU?
Geçtiğimiz hafta perşembe günü gece yarısından kısa bir süre sonra, Rusya’nın Ukrayna sınırındaki askeri yığınağı konusunda ABD, Rusya ve NATO arasında yapılan görüşmelerin başarısızlıkla sonuçlanmasından üç gün sonra hackerlar çoğu üst düzey devlet kuruluşuna ait Ukrayna merkezli 70 web sitesine tahrif saldırısı düzenledi. Hackerlar yaklaşık bir düzine sitenin ana sayfasını “kork ve daha kötüsünü bekle” yazılı tehdit mesajıyla değiştirdiler.
Saldırıda hedef olan siteler arasında dışişleri, savunma, enerji, eğitim ve bilim bakanlıklarının yanı sıra Devlet Acil Durum Servisi ile halkın çok sayıda kamu hizmetine dijital erişimini sağlayan e-devlet hizmetinin de dahil olduğu Devlet Acil Servisi ve Dijital Dönüşüm Bakanlığı yer alıyor.
Dışişleri Bakanlığı internet sitesine gönderilen ve Ukrayna, Rusça ve Lehçe olarak üç dilde yazılan tahrif mesajında şu ifadeler yer alıyordu: “Ukraynalılar! Tüm kişisel verileriniz genel ağa yüklendi Bilgisayardaki tüm veriler yok edildi, geri yüklemek imkansız. Hakkınızdaki tüm bilgiler halka açıldı, korkun ve en kötüsünü bekleyin. Bu senin geçmişin, şimdiki zamanın ve geleceğin için. Volyn için, OUN UPA için, Galiçya için, Polissya için ve tarihi topraklar için.”
Bir bakanlık yetkilisi, Ukrayna’nın “büyük bir siber saldırı” ile vurulduğuna ilişkin tweet attı. Ancak birçok site toplu olarak tahrif edilebilse de tek tek değerlendirildiğinde bu tür kampanyalar önemli değil veya büyük kabul edilmiyor.
Mandiant İstihbarat Analizi John Hultquist, “Aynı anda birden fazla hedefi vurmak ilk bakışta karmaşık, gelişmiş bir operasyon gibi görünüyor olsa da bu tek bir içerik yönetim sistemine erişim sonucu gerçekleşmiş olabilir. Bu saldırıyı gerçekleştirmek için gereken yeteneği abartmamak gerekir.” diyor.
Yöneticiler tahrif edilmiş sayfaları kaldırmak ve olayları araştırmak için çevrimdışı moda geçtiğinden siteler hızla ortadan kayboldu. Kısa sürede tüm sitelere yeniden erişim sağlandı.
Dışişleri Bakanlığı’nın internet sitesinde yer alan tahrif mesajında verilerin elde edildiği ve yakında sızdırılacağı söylense de verilerin alındığına dair bir kanıt yok ve web sitelerinin sunucularında genellikle çalınacak önemli veriler bulunmadığı biliniyor.
Devlet Özel İletişim ve Bilgi Koruma Hizmetleri Müdür Yardımcısı Victor Zhora, sigortalı araçları kaydeden bir kamu kuruluşunun web sitesinin ön portalından bazı verilerin silindiğini, ancak arka uç veritabanlarının sağlam olduğunu söyledi. Kamu kuruluşu web sitesini kapattı ve yedek verilerle portalı geri yükledi.
Tahrif saldırısı, belirlenen bir zamanda otomatik olarak tahrif için ayarlanmış bir komut dosyası aracılığıyla değil, manuel olarak gerçekleştirildi. Zhora, bunun tahrifleri birden fazla aktörün koordine ettiğini gösterdiğini söylüyor. Araç sigortası portalındaki verilerin silinmesi de manuel olarak yapıldı.
Ayrıca, tahrifatın Polonya’yı suçlamak için sahte bayrak operasyonu girişimi olabileceği de düşünülüyor. Dışişleri Bakanlığı internet sitesine gönderilen tahrif mesajı, Polonyalı vatanseverler tarafından yazılmış gibi gösterilmek suretiyle Ukrayna ile Polonya arasındaki bölünmeyi karıştırmak için tasarlanmış görünüyor. Ve tahrifatta kullanılan görüntünün meta verileri, Polonya’dan geldiğini gösteriyor. Ancak Polonyalı gazeteciler, tahrifattaki Polonyalı metnin, Polonyalı olmayan biri tarafından yazıldığını ve metnin muhtemelen Google Translate aracılığıyla üretildiğini gösteren üslup sorunları olduğunu fark etti.
Daha sonra cuma günü, saldırılardan etkilenen bazı devlet kurumları DDoS saldırılarının da hedefi oldu. Bu saldırılar, meşru trafiğin sitelere erişmesini kasıtlı olarak önlemek için web sunucularına gönderilen trafik akışını içeriyordu. Pazartesi günü ise başka bir tahrifat saldırısı meydana geldi, bu kez hedefte kamu ihalelerine ilişkin faaliyette bulunan Pro Zorro’ya ait bir web sitesi vardı.
HACKERLAR KİTLESEL BİR TAHRİFATI NASIL BAŞARDILAR?
Araştırmacılar saldırganların birden fazla yöntem kullanmış olabileceklerine inanıyorlar. Saldırıya uğrayan web sitelerinin çoğu OctoberCMS adlı aynı yazılımı kullanıyordu. Bu durum araştırmacıların hackerların OctoberCMS yazılımında bilinen bir güvenlik açığını kullanarak web sitelerinin gizliliğini tehlikeye attığına inanmalarına neden oldu. Saldırıya uğrayan 70 sitenin yaklaşık 50’si de Kitsoft adlı Ukraynalı bir şirket tarafından tasarlanmıştı ve aynı şirket tarafından yönetilmekteydi. Araştırmacılar Kitsoft’un gizliliğinin de tehlikeye atıldığını belirlediler ve bu da hackerların Kitsoft’un yönetici paneline erişmesine ve şirketin kimlik bilgilerini müşteri web sitelerini tahrif etmek için kullanmasına izin verdi.
Bununla birlikte, etkilenen sitelerin tümü Kitsoft tarafından yönetilmemekteydi, bu nedenle araştırmacılar hala bazılarının OctoberCMS sistemindeki bir güvenlik açığı veya başka bir ortak yazılım aracılığıyla tehlikeye atılmış olabileceğine inanıyor. Saldırıların son zamanlarda çok sayıda yazılım programı tarafından kullanılan açık kaynaklı bir kitaplıkta keşfedilen Log4j güvenlik açığını kullanıp kullanmadığı üzerinde de duruyorlar.
SALDIRILAR HENÜZ BİR BAŞLANGIÇ MI?
Tahrifatların gerçekleşmesinden iki gün sonra, Ukrayna ulusal güvenlik ve savunma konseyi sekreter yardımcısı Serhiy Demedyuk Reuters’e verdiği demeçte, tahrifatların “perde arkasında gerçekleşen ve yakın gelecekte hissedeceğimiz sonuçları daha yıkıcı eylemler için sadece bir örtü olduğunu” söyledi.”
Dermedyuk ayrıntı vermedi, ancak birkaç saat sonra Microsoft, tahrifatların gerçekleştiği gün Microsoft’un “Ukrayna hükümeti ile yakın çalışan birkaç Ukrayna devlet kurumuna ve kuruluşuna” ait sistemlerde yıkıcı kötü amaçlı yazılım tespit ettiğini açıkladı.”
Microsoft, kuruluşların isimlerini vermedi ancak aralarında “kritik yürütme organı veya acil müdahale işlevleri sağlayan” kurumların yanı sıra, web siteleri yakın zamanda tahrif edilmiş devlet kurumları da dahil olmak üzere kamu ve özel sektör müşterileri için web sitelerini yöneten bir BT firması yer aldığını söyledi. Microsoft BT firmasının ismini vermedi, ancak açıklama Kitsoft’a uyuyor.
Kitsoft, Pazartesi günü Facebook sayfasına gönderilen bir mesajda, silici yazılım tarafından enfekte olduğunu ve altyapısının bir kısmının hasar gördüğünü belirttiğini doğruladı. Ancak şirket sözcüsü Alevtina Lisniak gönderdiği bir e-postada söylediklerinden geri adım attı: “Birkaç bölüme virüs bulaştı ve bu nedenle gizlilikleri tehlikeye atılmış oldu, bu yüzden bu kısımları sıfırdan yeniden yüklemeye karar verdik Kitsoft’un silici yazılımla enfekte olup olmadığı sorulduğunda ise soruşturmanın sürdüğünü ifade etti.
Şirketin sözcüsü, dolaylı olarak bahsettiği “virüslerin” WhisperGate adlı silici kötü amaçlı yazılımın bileşenleri olduğunu ve silici yazılımın ana önyükleme kayıtlarının üzerine yazıldığını söylüyor. Bu kayıtlar sabit sürücü ön yüklendiğinde işletim sistemini bir cihazda başlatmaktan sorumlu olan kısmı.
Lisniak, “Üzerine yazılmış bazı ana önyükleme kayıtları keşfettik ve daha fazla saldırı olmasını önlemek için altyapıyı durdurduk.” ifadelerini kullandı. Bu, yalnızca silici yazılımın ilk aşamasının etkinleştirilebileceğini gösterir, ancak bu hala belirsizdir.
Microsoft’un WhisperGate adını verdiği kötü amaçlı yazılım, görünürde fidye yazılımı taklit ediyor. Ama bu onun altında yatan, daha yıkıcı yeteneğinin bir örtüsü. WhisperGate, sistemleri çalışamaz hale getirmek için virüslü sistemlerdeki kritik dosyaları silmek veya üzerine yazmak üzere tasarlanmış bir yazılım.
WHISPERGATE NASIL ÇALIŞIYOR?
Whispergate’in üç aşaması bulunuyor. İlk aşamada, hackerlar whispergate’i bir sisteme yüklüyor ve cihazın kapanmasına neden olmak suretiyle yazılımı çalıştırıyor. Kötü amaçlı yazılım, cihaz önyüklendiğinde işletim sisteminin başlatılmasından sorumlu sabit sürücünün bölümünün üzerine yazar. 10.000 $ değerinde Bitcoin talep eden bir fidye notu ile sistemin üzerine yazıyor.
Notta “Sabit sürücünüz bozuldu. Kuruluşunuzun tüm sabit disklerini kurtarmak istiyorsanız, bitcoin cüzdanı üzerinden 10 bin ABD doları ödemelisiniz. Daha fazla talimat vermek üzere sizinle iletişime geçeceğiz.” yazıyor.
İkinci ve üçüncü aşamalar halihazırda gerçekleşmiş durumda. Ve şu şekilde gerçekleştiği biliniyor: Kötü amaçlı yazılım bir Discord kanalına ulaştı ve başka bir kötü amaçlı bileşeni aşağı çekti, bu da virüslü sistemdeki diğer birçok dosyayı bozdu.
Sentinelone’un baş tehdit araştırmacısı Juan Andrés Guerrero-Saade, elektrik kesintisi gerçekleştiğinde bunun muhtemel olduğunu söylüyor. Sistem tekrar açıldığında fidye mesajı görüntüleniyor. Kullanıcı fidye yazılımı mesajını görüyor ve sistemin şifresini çözmek için para ödemeleri gerektiğine inanıyor.
Guerrero-Saade, enfeksiyonların nasıl geliştiği hakkında hala bilinmeyen çok şey olduğunu söylüyor: “Enfeksiyon vektörünü bilmiyoruz … saldırıları nasıl düzenlediklerini bilmiyoruz.”
Microsoft, blog yazısında, herhangi bir sistemin gerçekten silinip silinmediği veya kötü amaçlı yazılımın, hackerlar bir güç kesintisi ile başlatmadan önce sistemlerde bulunup bulunmadığı konusu net değil. Zhora, bir fidye mesajı görüntüleyen bazı devlet sistemlerinin farkında olduğunu söyledi, ancak araştırmacılar şu ana kadar Microsoft’un keşfettiği silici yazılımın doğru olup olmadığını belirleyemediler çünkü sistemlere erişilemiyor.
Microsoft, fidyeyi ödemek için Bitcoin cüzdan adresinin 14 Ocak’ta küçük bir para transferi aldığını söyledi. Ancak, mağdurların faillerle iletişim kurması için bir web sitesi veya destek portalı yoktu. Fidye yazılımı notu, mağdurların genellikle fidye yazılımı operatörleriyle iletişimlerine dahil etmeleri talimatı verilen özel bir kimlik içermiyordu.
Zira bu kimlik sayesinde operatörler kurbanları kilitlenen sistemlerini açmak için gereken şifre çözme anahtarı verebiliyordu. Bütün bunlar Microsoft’un kötü amaçlı yazılımın fidye kısmının sadece bir hile olduğuna ilişkin tespitini destekler nitelikte.
TAHRİFAT SALDIRILARI VE SİLİCİ YAZILIMI İLİŞKİLİ Mİ?
Silici yazılımının tahrifat için hedeflenen aynı kurumlardan bazılarına bulaşmış olması ve tahrifatın gerçekleştiği gün bulunmuş olması, iki olayın birbiriyle ilişkili olduğunu gösteriyor. Ancak Ukraynalı araştırmacılar terabaytlarca logu inceliyorlar ve hala iki olayın bağlantılı olup olmadığını ve tahrifatların silici yazılımların sistemlere yerleştirme noktasında bir örtü olup olmadığını veya zamanlamanın tesadüf olup olmadığını bilmiyorlar. Ayrıca kötü amaçlı yazılımların sistemlere nasıl girdiğini de bilmiyorlar. Silici yazılımın tahrif edilen aynı sistemlere bulaşıp bulaşmadığı da belli değil.
Rusya destekli olduğu iddia edilen siber tehdit aktörleri, Ukrayna hükümeti ve büyükelçilikleri ait 10’dan fazla internet sitesine saldırdı.
Siber saldırıdan etkilenenler arasında İngiltere, ABD ve İsveç’teki büyükelçiliklerin yanı sıra dışişleri ve eğitim bakanlıkları da bulunuyor.
Tehdit aktörleri, internet sitelerini çökertmeden önce Ukraynalıları “en kötüye hazırlanmaları” konusunda uyaran bir mesaj yayımladı. Saldırının arkasında kimin olduğu belli değil ancak bir sözcü, önceki siber saldırıların Rusya’dan geldiğini söyledi.
Rusya tarafından henüz bir açıklama gelmedi. Ancak Ukrayna hükümeti uzun süredir sınıra 100 bin asker yığan Rusya’nın yoğun baskısı altında.
Ukrayna’nın SBU güvenlik servisi, geçen yıl sadece dokuz ayda 1.200 siber saldırı veya olayı “etkisiz hale getirdiğini” söyledi. Cuma günkü saldırının başlangıcında, saldırıya uğrayan sitelerde Ukraynaca, Rusça ve Lehçe olmak üzere üç dilde bir mesaj yayınlandı.
KİŞİSEL VERİLER TEHLİKEDE Mİ?
Mesajda “Ukraynalı! Tüm kişisel verileriniz halka açık internete yüklendi. Bu senin geçmişin, bugünün ve geleceğin için” ifadeleri yer aldı.Başkent Kiev merkezli SBU daha sonra ilk değerlendirmelere göre hiçbir kişisel verinin sızdırılmadığını ve hiçbir içeriğin değiştirilmediğini açıkladı.
Hedef alınan siteler arasında, kişisel aşılama verilerini ve sertifikalarını depolayan resmi hizmetleri içeren Diia web sitesi de bulunuyor. Avrupa Birliği’nin dış politika sorumlusu Josep Borrell, Ukrayna’nın “bu tür siber saldırılarla” başa çıkmasına yardımcı olmak için tüm kaynaklarının seferber edildiğini söyledi.
Hükümet, saldırının yayılmasını önlemek için bir dizi sitenin askıya alındığını açıklamıştı. Güvenlik servisi daha sonra birçoğunun yeniden açıldığını kaydetti.
FBI, sunucularına sızan siber tehdit unsurlarının sahte siber saldırı uyarısı gönderdiği saldırıya ilişkin soruşturma başlattı.
Kurumdan yapılan açıklamada geçtiğimiz cumartesi sabahı tespit edilen olayın daha önceden devam eden bir saldırının parçası olduğu belirtildi.
Söz konusu mesajlarda, ABD İç Güvenlik Bakanlığından geldiği sanılan bir siber tehdit alarmı hakkında sahte bir uyarı yer alıyor.
Konuya ilişkin duyarlılığın artırılmasına hedefleyen sivil toplum kuruluşu Spamhaus’a göre, Dark Overlord olarak bilinen bir siber tehdit grubunun “sofistike bir zincirleme saldırı” gerçekleştirdi.
Kuruluşun açıklamasında, “Başlıklar gerçek göründüğü için karışıklığa sebep oluyor. Çünkü mailler gerçekten de FBI altyapısından geliyor.” ifadeleri yer aldı. Spamhaus yetkilileri ayrıca maillerde gönderenin isimleri veya iletişim bilgileri yer almadığını vurguladı.
ABD basınında yer alan haberlere göre, kurbanlara 100.000’den fazla e-posta gönderildi. FBI da bu sabah bir @ic.fbi.gov e-posta hesabından gelen sahte e-postalardan haberdar olduklarını bildirdi.
FBI ayrıca sorun tespit edildikten sonra saldırıdan etkilenen sistemlerin hızla çevrimdışına alındığını belirtti. Kurum ayrıca vatandaşları kaynağı bilinmeyen e-postalara karşı dikkatli olmaları ve şüpheli durumları yetkililere bildirmeleri konusunda uyardı.
Web hayatımıza girmeye başladığında, gördüğümüz, kullandığımız web sitelerini oluşturmak görece daha kolaydı. Ancak web siteleri popülerlik kazandıkça daha gelişmiş siteler ortaya çıktı. Gelişen web siteleri ise kullanıcı verilerini, site içeriklerini veritabanlarında depoladı. Depolarken de bir veri tabanı uygulaması olan Structured Query Language (SQL) adı verilen Yapılandırılmış Sorgu Dili kullanılmaya başlandı.
Dünya çapında birçok veri tabanı SQL ile ilişkili olmakla birlikte, siber tehdit aktörlerinin de gözünden hiç kaçmadı. SQL ortaya çıktığından beri siber tehdit aktörlerinin veri çalmak için en sık kullandığı saldırılardan biri SQL Injection oldu. Öyle ki, OWASP’ın(Açık Web Uygulama Güvenliği Projesi) günümüzün web uygulamalarına yönelik en ciddi tehditleri listelediği top 10 sıralamasında SQL Injection uzun yıllardır ilk on içerisinde yer almasının yanında 2021 yılında dahi bu sıralamadaki yerini koruyor.
Öyleyse bu yazıda SQL ve SQL Injection’a yakından bakmak, ne olduğunu, kısa tarihini, teknik ayrıntılarını, ne amaçla kullanıldığını ve nasıl önlenebileceğini anlatmaya çalışalım.
KISA WEB TARİHİNDEN SQL’E ÇIKAN YOL
1980’li ve 90’lı yıllardan başlayarak dünya, webin ve kişisel bilgisayarların hayatımıza girişine tanıklık etti. AOL, CompuServe, Juno ve diğer birçok şirket bilgi portalları ve web ağ geçitleri sağlamaya başladı. Böylelikle bilgi çağı doğarken, bilgi güvenliği de hayatımıza girmiş oldu.
İnsanlar, interneti keşfederken, yavaş yavaş birçok web sitesi oluşmaya başladı. İlk web siteleri statik metin ve resimler içerirken, webin popülerleşmesiyle arkasındaki teknoloji de gelişerek dinamik webleri ortaya çıkardı. HTML, CSS ve JavaScript ile gelişen süreç, çeşitli programlama dilleriyle birlikte devam etti. Birçok “Yapılandırılmış Sorgu Dili” gidip gelse de ilk olarak ABD hükümetine ait proje olarak 1970’lerde ortaya çıkan SQL, kullanımının yaygınlaşmasıyla giderek popülerleşti.
SQL NEDİR? NE İŞE YARAR?
SQL, genel olarak veri tabanı yönetiminin mihenk taşlarından birisidir. Veri tabanlarında bulunan verileri yöneten, işleyen, kontrol eden, sorgulayan SQL, veri tabanına ihtiyaç duyulan hemen her sektörde kullanılabilir. Özellikle SQL, web sitesi geliştirmek isteyenlerin vazgeçilmezidir.
SQL’in temel hedefi, verilerin ve veri kümelerinin modellenmesidir. Büyük boyutlu verileri bile birkaç işlemle işleyen SQL ile, veri tabanında var olan verileri kaydedebilir, veri tabanına yeni veriler işleyebilir, verilerin tamamını güncelleyebilir, sorgulama ve arama yapabilir, verileri silebilir, veri kayıtlarını yeniden oluşturabilir, veri tabanına ait yeni tablolar yaratabilir, veri tabanlarına kimlerin ulaşabileceğini ayarlayabilirsiniz. Bu anlamda SQL, sistemi birçok işlemi mümkün kılar. Tabii aynı zamanda da ‘veri hırsızlığı’nın da vazgeçilmez unsuru olarak karşımıza çıkar.
SİBER TEHDİT AKTÖRLERİNİN GÖZ BEBEĞİ SQL Injection NEDİR?
OWASP’ın tanımlamasıyla Injection, “güvenilmeyen verinin bir yorumlayıcı programa komut veya sorgu olarak iletilmesi”dir.SQL Injection da bu anlamda siber tehdit aktörlerinin SQL sorgularına müdahale etmesiyle gerçekleşen bir güvenlik açığı olarak bilinir.
SQL Injection saldırılarında bilinen yaygın risk, oturum açma bilgilerinin, kimlik bilgilerinin, e-posta adreslerinin çalınmasıdır. Bu veriler ise dark web’de satışa çıkarılarak siber tehdit aktörlerinin bir kazanç biçimine dönüştürülür.
SQL Injection NASIL GERÇEKLEŞTİRİLİR?
Çok uzun bir süredir OWASP’ın top 10 listesinde yer alan, bununla birlikte en eski güvenlik açıklarından biri olan SQL Injection, istemciden uygulamaya giriş verileri aracılığıyla bir SQL sorgusunun eklenmesiyle gerçekleştirilir.
SQL komutları, önceden tanımlanmış SQL komutlarının yürütülmesini etkileyen veri düzlemi girişine bulaştırılır. Dikkat ve koordinasyon gerektiren DDoS saldırılarıyla karşılaştırıldığında SQL Injection saldırısı, daha çok sabır, deneme yanılma, yaratıcılık ve biraz da şans gerektirir. Çok fazla beceri gerektirmeyen SQL Injection saldırısı tek bir bilgisayarda gerçekleştirebilir.
Oracle, SQL Server veya MySQL gibi SQL veri tabanları bir web sitesi veya uygulamasında kullanılıyorsa, SQL Injection saldırısına karşı savunmasız kalabilir. SQL Injection zafiyetini istismar eden saldırganlar, SQL veri tabanının içeriğini ele geçirebilir, değiştirebilir veya silebilir. Üstelik saldırganlar bu açığı kullanarak uygulamanın veri tabanında yönetici yetkisine sahip olabilir.
SQL Injection YOLLARI
Bunların yanı sıra SQL Injection saldırısı gerçekleştirmek için farklı yollar bulunur. Bunlar arasında aşağıdaki yollar yer alır:
Kullanıcı girişine dayalı SQL Injection
Çerezlere dayalı SQL Injection
HTTP başlıklarına dayalı SQL Injection
İkinci dereceden SQL Injection
Kullanıcı girişine dayalı SQL Injection, genellikle web uygulamalarının kullanıcı girdilerini incelemediği durumlarda ortaya çıkar. Normalde uygulama, kullanıcı girdilerini formlar aracılığıyla incelenip kabul ederken, söz konusu durumda bu girdiler incelenmeyerek kabul edilir.
Çerezlere dayalı SQL Injection ise, siber tehdit aktörlerinin kullanıcı veya kullanıcının cihazına zararlı yazılım dağıtmasına denir.
Web uygulamasının HTTP başlıklarından girdileri kabul ettiği durumda, rastgele SQL içeren sahte başlıklar veri tabanına kod ekleyebilir. Böylece HTTP başlıklarına dayalı SQL Injection ortaya çıkmış olur.
İkinci dereceden SQL Injection ise hem iyi hem de kötü amaçla kullanılabilen ‘zehirli’ veriler sunmasıyla bilinir.
Saldırganlar, SQL Injection güvenlik açıklarından çeşitli şekillerde yararlanarak sunuculardan veri sızdırabilir. Yaygın yöntemler arasında “Hata tabanlı (error-based), Boole tabanlı, Zamana dayalı (time-based) ve Bant dışı SQL Injection” bulunur.
Hata tabanlı SQL Injection:
Tehdit aktörleri, hata tabanlı bir SQL Injection zafiyetini istismar ederken, görünür veritabanı hatalarından tablo adları ve içerik gibi bilgileri alabilir. Üretim sistemlerinde hata mesajlarının devre dışı bırakılması, saldırganların bu tür bilgileri toplamasını önlemeye yardımcı olur.
Boole tabanlı SQL Injection:
Bazen bir SQL sorgusu başarısız olduğunda sayfada görünür bir hata mesajı olmaz. Bu durum saldırganın güvenlik açığı bulunan uygulamadan bilgi almasını zorlaştırır. Ancak yine de bilgi çıkarmanın bir yolu vardır.
Bir SQL sorgusu başarısız olduğunda, bazen web sayfasının bazı bölümleri kaybolur, değişir ya da web sitesinin tamamı yüklenemeyebilir. Bu göstergeler, saldırganların giriş parametresinin savunmasız olup olmadığını ve verilerin çıkarılmasına izin verip vermediğini belirlemesine olanak tanır.
Saldırganlar, bir SQL sorgusuna bir koşul ekleyerek bu durumu test edebilirler.Sayfa her zamanki gibi yüklenirse, bir SQL Injection’a karşı savunmasız olduğunu gösterebilir.
Zamana dayalı SQL Injection:
Bazı durumlarda güvenlik açığı bulunan bir SQL sorgusunun, sayfanın çıktısı üzerinde görünür bir etkisi olmamasına rağmen temeldeki bir veri tabanından bilgi çıkarmak mümkün olabilir.
Tehdit aktörleri bunu, veri tabanına yanıt vermeden (uyku) talimatı vererek belirler. Sayfa savunmasız değilse, hızlı bir şekilde yüklenir; savunmasızsa, yüklenmesi normalden daha uzun sürer. Bu, sayfada görünür bir değişiklik olmamasına rağmen saldırganların verileri çıkarmasını sağlar.
Bant dışı SQL Injection:
Bazen bir saldırganın bir veri tabanından bilgi alabilmesinin tek yolu bant dışı teknikleri kullanmaktır. Genellikle bu tür saldırılar, verilerin doğrudan veri tabanı sunucusundan saldırgan tarafından kontrol edilen bir makineye gönderilmesini içerir.
SQL Injection saldırılarına olanak sağlayan çeşitli etmenler bulunur. Verileri savunmasız kılan bu yaklaşımların değişmesi, SQL Injection saldırılarından en az hasarla atlatmanın ön koşuludur.
Örneğin veri tabanları yöneticilerine verilen yetkiler veya ayrıcalıkların sınırlandırılmamış olması, SQL Injection saldırısı gerçekleştiren herhangi bir saldırganın yönetici yetkisine sahip olmasıyla sonuçlanabilir.
Tüm verilerin aynı veri tabanında depolanması da yine kötü bir şekilde sonuçlanabilir. Elinizdeki tüm parayı evinizde saklamak ne kadar mantıklı değilse, hassas bilgileri, finans bilgileri, kişisel bilgileri aynı veri tabanında bulundurmak da siber tehdit aktörlerinin eline yağ sürmektir.
SQL Injection SALDIRILARI NASIL ÖNLENİR?
SQL Injection saldırılarını engellemenin tek bir geçerli yolu vardır. Bu da giriş doğrulaması ve hazırlanmış ifadeleri içeren parametreli sorguları içerir. Tek tırnak gibi kötü amaçlı kod öğelerinin de kaldırılması gerekir. Bunların yanında hata görünürlüğünü kapatmak da yardımcı etmenlerdendir.
SQL zafiyetlerini engellemek pek kolay olmasa da atılabilecek önemli adımlar mevcuttur.
Özetleyecek olursak:
Farkındalığınızı artırın
Kullanıcı girdilerine güvenmeyin
Katı beyaz listeler kullanıp filtreleyin
Son teknolojileri ve doğrulanmış mekanizmalar kullanın
