FBI’dan Amerikan firmalarına gönderilen bir uyarı notunda Kuzey koreli hackerların ülkedeki finansal kurumlara saldırı düzenlemeye devam ettiğini duyurdu. ABD hükümetinin bazı siber operasyonların arkasında Kuzey Kore olduğunu dünyaya ilan eden hamlelerinin hacking operasyonlarını durdurmaya yetmediğinin vurgulandığı notta, saldırıların isnat Kuzey Kore’ye isnat edilmesinin (attribution) komünist rejime etkisinin olmadığı belirtildi.
Eylül ayında, ABD Adalet Bakanlığı Kuzey Koreli ajan Park Jin Hyok hakkında hazırladığı iddianamede, 2014 yılında Sony Pictures şirketine yapılan siber saldırı ve 2017 yılındaki WannaCry fidye saldırısında payı olduğu gerekçesiyle suçlamıştı. Adalet bakanlığı daha önce de İranlı ve Rus hackerlar hakkında farklı siber saldırılardan dolayı suçlayan iddianameler hazırlamıştı.
Siber saldırıların kimin tarafından düzenlendiğinin ortaya çıkartılması anlamında kullanılan isnat (attribution) teknik olarak çok zor olduğundan, siber alanda saldırganların bir avantajı olarak değerlendiriliyordu. Fakat ABD’nin Kuzey Kore’yi suçladığı iddianamesindeki teknik bilgilerin bir çok uzmanı şaşırtacak şekilde kesin sonuçlar ortaya çıkarması siber dünyada ‘isnat probleminin’ aşılabileceğinin göstergesi olarak kabul ediliyor.
İsrail’de kurulan siber güvenlik şirketleri yabancı yatırımcı çekmeye devam ediyor. Bilgisayar virüslerini ortaya çıkmadan etkisiz hale getirdiğini iddia eden CyActive adlı şirkete PayPal’den ciddi yatırım geldi. CyActive saldırılarda kullanılan araçların yeniden kullanılmasını analiz ederek bunların başka bir saldırıda kullanılmasının önüne geçiyor.
CyActive CEO’su Liran Tancman’in deyimiyle ürünlerinin mantığı hackerların ‘tembelliğine’ dayanıyor. “Büyük saldırılarda kullanıldığı tespit edilen kodların büyük bir kısmı sonraki saldırılarda tekrar tekrar kullanılıyor.” diyen Tancman, içerisindeki tüm bileşenlerinin ilk defa kullanıldığı bir saldırıya rastlamanın zor olduğunu söyledi.
Bu bileşenleri etkisiz hale getirmenin riskleri azaltacağına inanan CyActive yöneticisi, hackerların yeni kodlar üretme konusundaki tembelliğinden faydalandığını ifade etmekten çekinmiyor. Şirket geliştirdiği algoritma ile zararlı yazılımların nereden gelip nereye gittiğini izleyip inceliyor. “Çok net bir şekilde geliştirilen zararlı yazılımın anahtarlığını görebiliyorsunuz.” diyen Tancman hackerların kullandığı metodların varyasyonlarını öngörebildiklerini belirtti. Önceden kullanılan bileşenleri etkisiz hale getirdiğinizde yeni zararlı yazılımın fonksiyonunu yerine getirmesini de engelliyorsunuz. Tancman virüslerin de tıpkı cam şişe ve kartonlar gibi ‘geri dönüşümünün’ olduğunu söylüyor.
Şirket geçen yıl yayınladığı raporda en fazla ‘geri dönüştürülen’ virüsleri açıkladı. Rapora göre, ABD’yi ayağa kaldıran Sony saldırısında kullanılan –Trojan Destover\BKDR_WIPALLA.A- ile Suudi petrol şirketi Aramco’ya yapılan saldırıda kullanılan-Disttrack\Shamoon- yazılımının birçok açıdan benzeştiği ortaya çıktı. Sony saldırısının arkasında Kuzey Kore olduğu iddia edilirken, Aramco saldırısının failinin İran devletine yakın hackerlar olduğu ifade ediliyor. CyActive’in iki saldırıda kullanılan yöntem ve araçların benzerliğini ortaya koyması nükleer alanda işbirliği yapan Kuzey Kore ve İran’ın siber silahlanma konusunda da beraber çalıştığı iddiasını yeniden gündeme taşıdı.
Antlaşmanın ayrıntıları açıklanmasa da İsrail medyasına yansıyan bilgilere göre yatırım miktarının en az 60 milyon dolar olduğu ifade ediliyor. CyActive PayPal’in yatırım yaptığı ikinci İsrailli teknoloji şirketi. 2008 yılında finansal sahtekarlıkları izleme yazılımı üreten FraudSciences şirketini 169 milyon dolara satın almıştı.
Güvenlik sektöründe henüz bir yılını dolduran CyActive şirketinin PayPal gibi küresel bir şirketten yatırım alması sektörün geleceğinin parlak olduğunu gösteriyor. CyActive’in kısa sürede ciddi müşteri portföyü oluşturması da bunda etken olarak görülüyor.
Bu düşünce, Amerika’nın başkenti Washington’da merkezi bulunan Stratejik ve Uluslararası Çalışmalar Merkezi’nden (CSIS) siber güvenlik uzmanı James Lewis’e ait. Lewis, arkasına devlet imkanlarını almış bir hackeri durdurabilecek bir şirket olmadığını savunuyor. Aynı uzman, Sony’yi hedef alan saldırının arkasında da komünist Kuzey Kore hükümeti destekli hackerlar olduğuna inanıyor.
BBC’ye konuşan Lewis, “Bu hackerları yenmek mümkün değil. Suçlular para kazanmak ister. Eğer sizin ağınıza sızma imkanları olmazsa, başka bir hedefe geçerler. Ancak Sony’ye yapılan saldırının motivasyonu maddi değil siyasiydi,” yorumunda bulunuyor. Lewis’in bu net ifadelerine karşı başka uzmanlar, bu siber saldırının arkasında Pyongyang olduğu noktasında şüphelerini sürdürüyor. Kuzey Kore yönetimi de saldırının arkasında kendilerinin olmadığını açıklamış durumda.
Amerikalı siber güvenlik uzmanı Lewis, devlet destekli hackerların bazı suç şebekelerine göre ellerinde daha fazla imkan olduğuna dikkat çekiyor. Bu hackerların ihtiyaç duyduğunda ajanları devreye sokabileceğini ya da telefon konuşmalarını dinlemeye yönlenebileceğini vurguluyor. “Bu tip hackerlar vazgeçmez. Başarılı olana kadar saldırıya devam ederler,” şeklinde konuşuyor Lewis.
Amerikalı uzmana göre, konuya bu şekildeki bir yaklaşımın, şirketlerin güvenlik riskleri noktasındaki anlayışlarını ve bu riskleri nasıl hafifletebilecekleri yönündeki düşüncelerini değiştirmelerini gerektiriyor. Lewis, “Şu an pekçok şirket, riskleri hafife alıyor,” uyarısında bulunuyor.
Siber güvenlik uzmanları, şirketlerin güvenlik açıklarını hızlıca tespit edip hackerların verebileceği zararları asgariye indirmeleri gerektiğine inanıyor. Amerika merkezli Forrester Research adlı şirketten güvenlik uzmanı Rick Holland, “Sony’yi bu noktada hatalı buluyorum zaten. Güvenlik ihlalini hızlıca tespit edip büyük miktarda bilginin sızmasını engelleyemediler. Bu çok sayıda şirketin ortak sorunu da ayrıca,” dedi.
Şirketler, ağlarına sızmaya çalışabilecek davetsiz misafirlere karşı yüksek güvenlik duvarları inşaa etmelerine rağmen saldırı anında harekete geçecek “kişileri” yerleştirmiyor. Holland için hackerların bir şekilde ağa sızmaları halinde verecekleri zararları asgariye indirmek, bu bilgisayar ağlarının yapılanmasında büyük değişikler anlamına geliyor. “Ağlara bakarsanız, pekçoğunun temel olarak tehlikede olduğunu görürsünüz. Saldırgan içeri girdiği andan itibaren istediğini alabiliyor.”
Holland, şirketlerin bilgisayar ağlarını parçalara ayırmaları tavsiyesinde bulunuyor. Yani, hacker bir bölüme girdiği zaman diğer bölümlere sızmasının engellenmesi şeklinde bir ayrışma gerekiyor. Bu noktada gemilerdeki güvenlik yaklaşımını örnek gösteren Holland, “Gemi gövdesi zarar görürse o bölümü kapatıp zararın diğer bölümlere geçmesini engelleyebilirsiniz,” diyor.
Bazı şirketler mesela petrol ve doğalgaz kurumları, önemli gördükleri bilgisayar ağlarını, şirket ağından tamamen kopararak bir sızma durumunda, hackerların önemli ağlara ulaşmasını engellemeye çalışıyor. Buna “air gapping” ismi verilmiş. Rick Holland, bu tekniğin etkili olabileceği ancak bazı şirketlerdeki çalışanlar için bu ayrışmanın yorucu olabileceğini ve hatta üretimin zarar görebileceğine dikkat çekiyor.
Sony’yi hackleyen kişiler, şirketin özel e-postalarını sızdırırarak Sony’nin ününe zarar vermiş durumda. Holland, şirketin gereksiz bilgileri silerek çalınmalarının önüne geçebileceği önerisinde bulunuyor. Holland, “Şirketler kesinlikle çok fazla bilgi barındırıyor. Ama gereksiz olanları tespit edip silmeleri lazım,” tavsiyesinde bulunuyor.
Ancak bu tavsiye, “big data” fetişimizde olduğu bir dönemde şirketler için bir ikileme yol açıyor. “Big data,” bilgilerin toplanıp bunlar arasında ayıklama yaparak daha önce farkında olunmayan ilişkileri ve alışkanları ortaya çıkarmakta kullanılıyor. Holland, “Büyük miktardaki bilgilerin sorunu, bunların hepsinin aynı sepet içinde tutulması. Hacker, bu sepete girdiği anda herşeyi ele geçirebilir,” diyor.
Bunların yanı sıra bilgilerin şifrelenmesi de önemli. Amerika merkezli Gartner şirketinden güvenlik uzmanı Anton Chuvakin, davetsiz misafirlerin ağa sızdığının hızlı bir şekilde tespit edilememesi halinde bu şifrelemeyi çözecek bilgileri de çalabileceğine dikkat çekiyor.
Chuvakin, şifreleme ve ağ ayrıştırmanın değerli olduğunu çünkü bu adımların hackerların işini zorlaştıracağına dikkat çekiyor. Chuvakin, “Şirketlerin yapması gereken hackerları engelleme mantığından uzaklaşmak. Hackerları yavaşlatıp onları iş üzerinde yakalamak daha mantıklı. Şifreleri bilgilerinizi çalıp ardından da üç gün boyunca bu şifrelerin anahtarlarını aramakla vakit geçirirlerse onları yakalamak daha kolay olur,” şeklinde yorumda bulunuyor.
Peki şirketler, Sony’ye yapılan tarzda bir saldırıyı nasıl engelleyecek? Halihazırda kullanılan anti-virüs programları ve diğer sistemler yetersiz görünüyor. Anton Chuvakin, yeni teknoloji ürünü makinelerin bu tür saldırıları tespit edebileceğine inanıyor. Ayrıca “big data” teknolojilerinin de güvenlik noktasında yardımcı olabileceği düşünülüyor.
İşin kötü tarafı, bu şirketler için ek maliyet demek. Lewis, devlet destekli hackerların önüne geçmek için şirketlerin para harcamak zorunda olduğuna dikkat çekiyor. “Riskin düşük olduğuna inanmak ucuz. Ama bu günler geride kaldı,” diyor.
Geçtiğimiz günlerde ABD Merkez Komutanlığı’nın (CENTCOM) Twitter ve Youtube hesaplarının hacklenerek ele geçirilmesinin ardından, saldırının ardında kimin bulunduğu konusunda çalışmalar devam ediyor.
Merkez Komutanlığı’nın hesapları hacklenmiş ve bu hesaplarda “Amerikan askerleri, biz geliyoruz, kendinizi kollayın.” mesajı bırakılmıştı. Mesajlar IŞİD imzasıyla yayınlanmış ve örgüt bu siber saldırıları üstlenmişti. Ayrıca hesapların profil fotoğrafları da “I love you ISIS.” yazısıyla değiştirilmişti. Sonraki tweetlerde, emekli ABD generallerinin ve ailelerinin ev adreslerini yayınlamaya başlayan hacklenmiş hesaplar, ayrıca Pentagon’un kimi askeri planlarını da ortaya döktüklerini iddia etmeye başlamıştı.
NBC News’e konuşan hükümet yetkilileri, hackerlarca yayınlanan bilgilerin hiçbirinin zaten “gizli bilgi olmadığını, “resmi kullanıma özel” sınıfında bulunduğunu belirttiler. Çin ve Kuzey Kore hakkında yayınlanan resim dosyalarının ise zaten askeriyeye ait olmadığı belirtildi. Saldırının arkasındaki CyberCaliphate, daha önce çeşitli Amerikan medya organlarını da hacklemişti. Bu kurumlar arasında The Albuquerque Journal ve WBOC 16 bulunuyor.
Geçtiğimiz haftadan bu yana Amerikan Savunma Bakanlığı ile ortak çalışan FBI, saldırının arkasındaki isimleri bulmaya çalışıyor. ABD’li yetkililere göre, bu saldırı sadece Amerikan güvenlik çıkarlarını etkileyen bir saldırı olmanın ötesinde, siber saldırıların dünya istikrarına tehdit oluşturduğuna dair en bariz kanıtlarından biri.
CENTCOM hackleme hadisesinin arkasındaki isimler araştırılırken, İngiliz bir haber sitesi, bu saldırının arkasında İngiltere’den bir hacker olduğunu öne sürdü. Habere göre, Tony Blair’ın internet hesaplarını hacklediği için hapis cezasına çarptırılan ve iki yıl önce Suriye’de savaşmak için IŞİD’e katılan Junaid Hussain adındaki hacker, tüm CENTCOM saldırılarından sorumlu.
Junaid Hussain 21 yaşında ve örgütün en yetenekli bilgisayar uzmanı olarak biliniyor. 2012 yılında Tony Blair’ın kişisel bilgilerini çalmak ve yayınlamak suçundan hapse sevkedilen Hussain, Suriye’ye kaçtığı sıralarda polis gözetiminde bulunuyordu. Abu Hussain al Britanî lakabını kullanan Hussain, çeşitli ekstremist tweetlerle ABD’yi hedef almıştı.
CENTCOM, olayı siber saldırı veya hackleme olarak değil, siber vandalizm örneği olarak nitelendirdi. Sony’e yapılan saldırının ardından da Amerikan resmi kurumları siber vandalizm olarak olayı tarif etmeyi tercih etmişlerdi.
CENTCOM son olarak bir kaç ay önce Suriye Elektronik Ordusu’nun da hedefindeydi. IŞİD’e göre daha gelişmiş siber kabiliyetleri bulunan SEO, CENTCOM’un gizli olmayan mail hesaplarının olduğu networke girdiğini iddia etmişti.
Kuzey Kore hakkında bilinenler kısıtlı. Komünist yönetimin, internet üzerindeki kısıtlamaları ve halkın internete nasıl ulaştığına yönelik bilgi ise çok daha az. Ancak bir şekilde bilişim uzmanlarının eline, Kuzey Kore’nin resmi web tarayıcısı “Naenara” (Korece’de ‘benim ülkem’ demek) geçti.
Kuzey Kore’ye artan ilginin bir nedeni de Sony’nin dağıtımcılığını üstlendiği “Mülakat (The Interview)” filmi nedeniyle hacker saldırısına uğraması. Amerika’nın resmen Kuzey Kore’yi suçladığı bir atmosferde, Komünist yönetimin ülke içindeki interneti nasıl kontrolü altında tuttuğuna yönelik ilgi de arttı.
Web tarayıcısı, Kızıl Yıldız adlı işletim sisteminde çalışan modifiyeli bir Firefox sürümü. Naenara üzerindeki araştırmalar hakkında bilgi veren güvenlik uzmanı Robert Hansen, tarayıcının her açılışta http://10.76.1.11 adresine yöneldiğine dikkat çekti. Bu adrese, Kuzey Kore dışından ulaşım sağlanamıyor.
Hansen, “Kuzey Kore’nin bütün interneti, kapalı devre bir sistem. Komünist yönetim, bütün internet ağına bir şirketin ofislerini yönettiği gibi idare ediyor. Kuzey Kore’nin bütün sistemi, bir ağ içinde dolaşıyor. Daha önceleri, komünist yönetimin belli bir ağ bölgesine sahip çıkıp bilgi akışını kontrol ettiğini sanıyordum. Ama yanılmışım,” dedi.
Komünist yönetim, bu şekilde ülkedeki bütün internet ağını kontrol edebiliyor. Giden ve gelen bilgileri süzebiliyor. “Ülke genelindeki LAN ağının amacının, kullanıcıların ne görebileceğini ve dışarından gelen sanal ziyaretçilerin ne görebileceğini kısıtlamak olduğunu düşünebilirsiniz,” diyor Hansen.
Peki Naenara web tarayıcısı eposta, takvim ve sertifikalar konusunda nasıl bir görev görüyor? Öncelikle, bir kullanıcının anti-phishing veya anti-malware listelerini ne zaman indirebileceği kontrol edilebiliyor. Ayrıca bunlar, komünist yönetimin belirlediği bir site üzerinden indirilebiliyor.
Naenara, ne zaman çökse ana sisteme de bilgi vererek komünist yönetimin bu şekilde yeni bilgiler edinmesini sağlıyor. Hansen, “Hataların çözümlenmesi ve tarayıcıda yeni açıkların bulunması adına bu yararlı oluyor,” yorumunda bulundu.
Bütün eposta sistemi ve takvim de ana IP adresi üzerinden geçiyor. Ve Naenara, sadece devletin onayladığı sertifikayı kabul ediyor.
Robert Hansen, Kuzey Kore yönetiminin bütün bu işleri bir IP adresi üzerinden nasıl yaptığına da şaşırdığını söyledi. “Belki sayfaların yüklenmesinde dengeleme yapıyorlardır. Ancak tek bir adres üzerinden iş yapmak pek çok açıdan kötü. DNS’ler aslında daha dayanıklı. Ama zaten yavaş bir interneti olan ülkede, bu şekilde işler daha da yavaşlayacak. Bir tahmin yürütmem gerekirse Kuzey Kore yönetimi, proxy kullanıyor ve temel görevleri URL üzerinden farklı makinelere paylaştırıyor,” ifadelerini kullandı.
