Etiket arşivi: temel siber saldırılar

Siber Saldırılar

Ruhumuza Seslenen Tuzak: SENİSEVİYORUM Virüsü

Yorum yapın

Bir sosyal mühendislik harikası olan ILOVEYOU virüsü, daha milenyumun başında sıradan bilgisayar kullanıcılarının hayatını kabusa çevirmekle hatırlanıyor. Melankolik olduğunuz dönemlerde gelen kutunuza tanıdığınız/hoşlandığınız bir isimden gelen ve gerçek olamayacak kadar güzel görünen e-maillere aman dikkat!

Zararlı yazılımın çalışma prensibi şöyle: Gelen kutunuza ILOVEYOU başlıklı bir e-mail düşer. Merak edip de açtığınız zamansa mesajda ‘LOVE-LETTER-FOR-YOU.txt.vbs’ (Aşk mektubu, sana) adlı bir ek dosyanın yüklü olduğunu fark edersiniz. Windows bilgisayarlar, varsayılan olarak dosya uzantılarını gizlediği için pek çok kişi ekteki dosyayı sıradan bir metin dosyası olarak görür. Metin dosyalarının ise komut çalıştırması mümkün olmadığından, pek çok kullanıcı zararsız bir yazılımla karşı karşıya olduğunu düşünerek ekteki dosyayı indirip çalıştırır.

İLGİLİ YAZI >> DÜNYA ŞOKTA! 30 ÜLKEDEKİ SABİT SÜRÜCÜLERE CASUS YAZILIM YERLEŞTİRİLMİŞ!

Dosya indirildikten sonra harekete geçen virüs, aynı anda birkaç işe birden koyulur. İlk olarak yüklü olduğu bilgisayarın hard-diski üzerindeki görsel dosyaların üzerine yazarak (overwrite) bu dosyaların kaybına ve kullanılamaz hale gelmesine sebep olur. Ayrıca virüs kullanıcının hard-diski üzerindeki farklı klasörlere kendini kopyalar. Diğer taraftan Microsoft Outlook programına erişerek kullanıcının adres defterini ele geçirir. Bir sonraki aşamada ise adres defterindeki tüm kişilere ‘ILOVEYOU’ başlıklı ve ‘LOVE-LETTER-FOR-YOU.txt.vbs’ ekli e-mailler gönderir. Bu sayede virüsün hızla yayılması sağlanır.

Windows işletim sistemi yüklü bilgisayarlar için tasarlanan virüs, şirket hesapları üzerinden hızlıca yayılmasıyla biliniyor. Virüs ilk olarak 5-6 Mayıs 2000 tarihlerinde Filipinler’de görülmeye başlamıştı. Buradaki şirket hesaplarına bulaştıktan sonra yayılması ise çok kolay oldu. Çünkü gönderilen mesajlar adres defterinde kayıtlı bir kişiye gönderiliyor ve virüsün yayılmasında karşı tarafın duyduğu güvenden faydalanılıyordu. Filipinler üzerinden batıya doğru yayılan virüs 10 gün gibi kısa bir süre içinde, internete erişimi olan bilgisayarların yaklaşık yüzde 10’una bulaştı.

Virüsün dayandığı sosyal mühendislik boyutu, başarısının arkasındaki ana sebeplerden. Kurbanın ilgisini çekebilecek bir başlık tercihi (Seni seviyorum), kişiye adeta duymak istediği şeyi söylüyor. Bunu destekleyici nitelikte bir ek dosya (Aşk mektubu) ise mesajın inandırıcılığını artırıyor ve gerçeklik imgesini kuvvetlendiriyor. Burada şüphe edilmesi gereken bir durum olduğunu fark eden tecrübeli kullanıcılar dahi, sıradan bir metin dosyasıyla karşı karşıya olduklarını görüp ikna olabiliyor.

Diğer taraftan 2000 yılı şartları, internet kullanıcılarının tecrübesiz olduğu bir dönemi yansıtıyordu. Bugün pek çoğumuz, tanıdığımız bir kişiden geliyor gözükse dahi şüpheli görünen e-mailleri açmıyoruz. Zaten Google, Yahoo ve Microsoft gibi e-posta servisi sağlayıcıları bu tür dosyaları otomatik bir şekilde spam olarak tanımlıyor ve ona göre muamele ediyor. Zararlı yazılımların e-posta hesapları üzerinden yayılması bugün çok daha zorlaşmış durumda ve her yeni güncellemeyle güvenlik özellikleri daha da gelişiyor. Ancak 2000’li yılların başında durum çok farklıydı.

İLGİLİ YAZI >> E-MAİLİNİZİN MAHREM OLDUĞUNU MU SANIYORSUNUZ? TEKRAR DÜŞÜNÜN

 

Genel trendin aksine bu zararlı yazılımın yazarları Filipin polisi tarafından tespit edildi: Onel de Guzman ve suç ortağı Reomel Ramones. Fakat ikili yasal olarak bir suç işlememişti. Evrensel ceza hukuku prensiplerine göre bir eylemin suç olarak nitelendirilebilmesi için yasal olarak düzenlenmiş ve cezanın da yine kanunen belirlenmiş olması gerekmektedir. Bugün siber suçlar konusu pek çok ülkede yasal olarak düzenlenmiş durumda; ancak 2000 yılı Filipinlerinde durum o kadar iç açıcı değildi. Dolayısıyla Guzman ve Ramones, Filipin ceza sisteminde zararlı yazılımlarla ilgili bir suç tanımlaması olmadığı için serbest bırakıldı. Ne Guzman ne de Ramones suçlarını itiraf etmişti. Tabii ki bu yaptıklarının somut yaptırımları olacaktı. Örneğin Guzman’ın, şifre kopyalayabilen bir truva atı virüsünün ticarileştirilebilmesi üzerine yazdığı tezi üniversite yönetimi tarafından reddedilip Guzman okulu bırakmaya zorlandı. Ancak ikili, yazdıkları virüsün sebep olduğu 10 milyar dolarlık zarardan sorumlu tutulamadılar. Zaten bu parayı bir ömür boyu karşılayabilmeleri mümkün değildi. İki genç maceracının kodladığı virüs, pek çok ateşli silahtan ve güdümlü füzeden daha fazla zarara neden olmuştu.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ[wysija_form id=”2″]

Makale & Analiz, Siber Saldırılar

Sobig: ‘Gelen Kutunuzun’ Korkulu Rüyası

Yorum yapın

Bir sabah e-posta kutunuza “Re: Approved” (Yanıt: Onaylandı), “Re: Your Application” (Yanıt: Başvurunuz), “Re: Thank you!” (Yanıt: Teşekkürler) tarzında bir mesaj düştüğünü hayal edin. Ne yapardınız? Aslında internet kullanıcısı olarak hepimiz her hafta, hatta her gün bu tür e-mailler alıyoruz. Artık çoğu internet kullanıcısı bu tür mesajların virüs içerdiğini ve açılmaması gerektiğini biliyor ve ona göre davranıyor. Zaten bugün Google, Yahoo, Microsoft gibi elektronik posta servisi sağlayan büyük şirketler, spam olarak adlandırdığımız bu tür e-mailleri çoğunlukla otomatik olarak tespit ediyor ve e-mail hesabınız içerisinde farklı bir klasörde muhafaza ediyor, bir süre sonra da siliyor. Dolayısıyla genelde gelen kutunuza düşen spam mesajlarından sizin haberiniz dahi olmuyor.

İLGİLİ YAZI>> GELMİŞ GEÇMİŞ EN GENİŞ ÇAPLI SALDIRI: SHADY RAT

Oysa Sobig solucanı, Ocak 2003’te ilk ortaya çıktığında kimse dünyanın en tehlikeli siber saldırılarından biriyle karşı karşıya olduğunun farkında değildi. 2003 senesi boyunca çeşitli formlarda yayılmaya devam eden solucan, kısa zamanda büyük siber saldırılar tarihine geçecekti.

2000’li yılların başı, internetin aslında belli bir altyapıya erişip kullanıcı kitlesini genişlettiği bir dönemdir. Artık devletlerin, büyük şirketlerin ve belli maddi imkanlara sahip bir kesimin erişim sağlayabildiği internet kitlesel bir hâl almaya başlamıştır. Bir taraftan sayısız haber sitesi, mesajlaşma sayfası, randevu sitesi, online alışveriş mağazaları ortaya çıkarken diğer taraftan Friendster, Hi5, Linkedin, MySpace gibi bugünkü anlamıyla sosyal medyanın tohumlarını atan ağlar siber alanda kendini göstermeye başlamıştır. Bunun da ötesinde internetin küresel kullanımı hız kazanmıştır. Örneğin 2005 yılında dünya çapında 1 milyar olan internet kullanıcılarının sayısı 5 sene içerisinde iki kat artarak 2010 yılında 2 milyarın üstüne çıkmıştır. Sobig saldırıları, işte bu patlama döneminin başlangıcında meydana gelmiştir.

İLGİLİ YAZI >> ESTONYA SALDIRILARINA ÇOK BOYUTLU BİR BAKIŞ

Solucanın yayılması 

Sobig solucanını içeren ilk e-mailler Ocak ayında yayılmaya başladı. Bu mesajlar, big@boss.com adresinden gelmiş gibi görünüyor ve okuyucunun ilgisini çekebilecek başlıklar taşıyordu. Her mailin ekindeyse Sobig dosyaları bulunuyordu. İlerleyen dönemlerde sırasıyla Mayıs ayında Sobig.B, Mayıs ayı sonunda Sobig.C, Haziran ortasında Sobig.D ve Haziran sonunda Sobig.E versiyonları keşfedilen solucanın en çok bilgisayar etkileyen versiyonu ise Ağustos ayında ortaya çıkan Sobig.F formuydu.

Spam mesajını alan kullanıcılar e-maili açtıktan sonra ‘Lütfen detaylar için ekteki dosyaya bakınız’ türünden bir yazıyla karşılaşıp ekteki dosyaya yönleniyorlardı. Ekteki dosyalar ise oldukça sıradan başlıklar taşıyan ve kullanıcıları şüpheye sokmayacak türdendi. Örneğin uygulama, detaylar, belge, film, teşekkürler gibi oldukça olağan gözüken dosya adları tercih ediliyordu. Ekteki dosyaya tıklayan kullanıcılarsa virüse yakalanıyorlardı.

Sobig virüsü sadece Windows işletim sisteminin yüklü olduğu bilgisayarları hedef alıyordu. İşletim sistemleri ürün pazarında küresel çapta hâkim konumda olan Microsoft şirketi, kullanıcılarının maruz kaldığı saldırıların muhatabı olacaktı. Sobig sadece basit bir solucan olarak çalışmıyor, aynı zamanda bir Truva atı gibi faaliyetlerini gizleyebiliyordu.

Bir bilgisayara bulaştıktan sonra solucan, .htm, .html, .txt gibi uzantılara sahip olan dosyaları arıyor ve bu dosyalardaki kayıtlı e-mail adreslerine ulaşmaya çalışıyordu. Buradan elde ettiği adresleri kendi oluşturduğu sntmls.dat adlı bir dosyaya kaydeden solucan aynı zamanda kendi SMTP motoruna sahipti. Bu sayede veri tabanını kuvvetlendiren solucan yeni kullanıcıları ve hesapları, gönderdiği spam maillerle hedef alabiliyordu.

İLGİLİ YAZI >> BİR BİLİM KURGU ROMANINDAN FAZLASI: GUGUK KULŞU YUMURTASI

O dönemin şartlarını düşünecek olursak internet kullanıcılarının büyük bir çoğunluğu spamlara karşı tecrübesizdi. Sıradan görünen bir mesajı okuyup ekine tıklamakta pek bir sakınca görmüyorlardı. Bu tecrübesizlik, virüsün hızlıca yayılmasına olanak sağlayacak ve Microsoft’un zor günler yaşamasına sebep olacaktı.

Sobig solucanlarının etkisi çarpıcı oldu. Örneğin BBC bilgisayarlarına bulaşan solucanlar yüzünden İngiliz medya devinin pek çok takipçisinin ve çalışanının e-mailleri yeni spamların hedefi haline geldi. Bu dönemde dünya çapında gönderilen spamların üçte ikisinin Sobig olduğu hesaplanmıştır. Sobig solucanları sadece bulaştıkları bilgisayarlara zararlı yazılım bulaştırmakla kalmıyor, aynı zamanda küresel internet trafiğinin de yoğunlaşıp yavaşlamasına sebep oluyordu. Örneğin internet hizmeti sağlayıcısı AOL, o dönemde yaptığı bir açıklamada, taramış olduğu 40,5 milyon adet e-mailin yarısından çoğunda Sobige rastladığını ifade etmişti.

İLGİLİ YAZI >> RAS-GAS SALDIRISI SİBER KIYAMET ALAMETİ Mİ?

Diğer taraftan Sobig, ciddi bir ekonomik zarara da sebep oldu. Yapılan tahminler farklılık gösterse de küresel ekonominin yaklaşık 37 milyar dolarlık bir zarara uğradığını iddia edenler var. CNN, Ağustos ayı itibarıyla sadece Amerika’da 50 milyon dolarlık bir zarardan bahsediyor ki bu daha gerçekçi bir tahmin. Yine de Sobig, dünyanın ekonomiye maliyeti en yüksek olan siber saldırılarından biri olarak not edilebilir.

Sobig’i kimin yazdığı konusu bugün hala belirsizliğini koruyor. Her kimse yazar, Sobig.F’i 10 Eylül 2003’te kendisini deaktive edecek şekilde kodlamıştı ve o tarihte solucanın spam faaliyetleri sona erdi. Diğer taraftan Microsoft, Sobig’in kodunu yazan kişinin kimliğine ve tutuklanmasına yardım edecek kişilere 250,000 dolar vereceğini ilan etti. Ancak bu para ödülü dahi saldırganın yakalanmasını sağlayamadı.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

 

 

 

 

Makale & Analiz

Bir Bilim-Kurgu Romanından Fazlası: Guguk Kuşu Yumurtası 

Yorum yapın

Günümüzde hayatın hemen her alanını işgal eden ve neredeyse bir ‘doğal hak’ hâline geldiği konuşulan internetin geçmişi 1970’lerdeki ARPANET’e kadar götürülebilir. ARPANET’in açılımı Advanced Research Projects Agency Network idi ve araştırmacıları belli noktalar üzerinden birleştirerek dış müdahalelerden etkilenmeyecek bir ağ oluşturmayı amaçlıyordu. İlginçtir ki, ilk bilgisayar virüslerinin ortaya çıkışı da bunu takip eden dönemde görüldü.

Diğer taraftan, bugün internet gelişip genişledikçe siber saldırıların içeriği de karmaşıklaşıyor. Büyük çaplı saldırıların çoğu ciddi bir istihbarat çalışmasını ve sosyal mühendisliği gerektiriyor. Ancak bundan yaklaşık 30 sene önceki dönemde çok daha basit tasarımlı virüslerle ve siber saldırılarla etkisi büyük saldırılar gerçekleştirilebiliyordu.

Bilinen ilk siber saldırı örneklerinden olan Cuckoo’s Egg (guguk kuşu yumurtası) saldırısı gerçekleştiğinde tarih Ağustos 1986’ydı. Bu dönemi hatırlayalım. Soğuk Savaş devam ediyordu ve Amerika’da Ronald Reagan Başkan’dı. Beyaz Saray, 1980’li yılların başından beri Reagan Doktrini adı altında Sovyetler’in küresel etkisini kırmak adına açık veya örtülü operasyonlar yürütüyor, Sovyet karşıtı gerillaları destekliyordu. Détente yıllarının görece huzuru geride kalmıştı. Diğer taraftan Sovyetler Afganistan işgalinin sonuçlarıyla baş etmeye çalışıyordu. Üç sene içinde art arda üç yaşlı lider değiştiren Sovyetler’de yeni Parti Sekreteri Mihail Gorbaçov 1985 senesinde seçilmişti. Gorbaçov, sonrasında perestroika (yeniden yapılanma) ve glasnost (açıklık) olarak bilinen reform çalışmalarını başlatacaktı.

Saldırının fark edilmesi 

Clifford Stoll adlı Amerikalı uzay bilimci, Lawrence Berkeley Ulusal Laboratuvarı’nda (LBUL) çalışıyordu. LBUL’de sistem yöneticisi olan Stoll, 1986 Ağustos’unda bir arkadaşının kendisini uyarmasıyla harcamalarda 75 sentlik bir açık olduğunu fark etti. Birisi LBUL sistemini kullanıyor ancak karşılığında ödemesi gereken ücreti ödemiyordu.

Stoll, harcamalardaki bu açığın kaynağını takip ederken dikkatli davranmayı ve pasif kalmayı tercih etti. Öncelikle saldırgan, LBUL sistemlerinin kullandığı movemail adlı bilgisayar programındaki bir açıklıktan faydalanıyordu. Sonrasında Stoll, saldırıların telefon hattına bağlı bir modemden geldiğini ve bu hattın da Virginia eyaletinde bulunan bir savunma şirketine ait olduğunu tespit etti. Artık Stoll, bu hat üzerinden gelen tüm saldırıları takip ederek hackerın davranışlarının kaydını almaya başlayabilirdi.

ÖNEMLİ SİBER SALDIRILARLA İLGİLİ DİĞER YAZILAR İÇİN TIKLAYINIZ

Anlaşılan sistemdeki bu hacker, ‘nükleer’ veya ‘SDI’ (serial digital interface) etiketi taşıyan dosyaları arıyordu. Hareket ettiği tek sistem LBUL değildi. Yeri geldiğinde Amerikan askerî üslerinin sistemlerine de yetkisiz giriş yapabiliyordu. Girdiği sistemlerde şifre klasörlerini kopyalıyor ve Truva atları yerleştirerek şifreleri ele geçirmeye çalışıyordu. Stoll aynı zamanda hackerın, karşısına çıkan şifreleri kolaylıkla kırabildiğini fark etti. Anlaşılan, askerî üslerin sistemlerinde bile yeterince güvenlik önlemi bulunmuyordu. Diğer taraftan, hacker genelde gündüz vakitlerinde saldırılar gerçekleştiriyordu. Ancak normal şartlar altında bu yoğunlukta gerçekleşen saldırıların, bağlantı ücretleri açısından değerlendirilince gece vakitlerinde gerçekleşmesi beklenirdi. Buradan hareketle Stoll, saldırganın Atlantik okyanusunun doğusunda yaşadığı tahmininde bulundu.

İhtiyacı olan tüm verileri edinen Stoll için artık harekete geçme zamanı gelmişti.  Hackerın girdiği tüm sistemlerde ‘nükleer’ ve ‘SDI’ gibi anahtar kelimeleri aradığını bildiği için LBUL sisteminde ‘SDInet’ adlı bir hesap açtı ve içerisini yeterince ikna edici bilgilerle doldurdu. Bu yönteme daha sonra ‘honeypot’ (bal küpü) adı verilecekti. Tuzak bir bilgiyi sisteme yerleştiren Stoll, hackerın ağda online kalmasını sağlayarak izini sürmeyi başardı.

Tüm izler, saldırıların uydu aracılığıyla Batı Almanya’dan geldiğini gösteriyordu. Alman yetkililerin de özverili çalışmaları sayesinde saldırıların gerçek kaynağı tespit edildi. Saldırgan, Batı Almanya’nın Hannover kentinde yaşayan hacker Markus Hess’ten başkası değildi. Hess’in hedefi ABD askerî ve eğitim kurumlarıydı. Buradan elde ettiği kritik bilgileri Rus istihbarat kuruluşu KGB’ye satıyordu.

Hess’in kimliği tespit edildikten sonra Alman otoriteler gereken adımları atarak Hess’i tutukladılar. 1990’lardaki yargılama aşamasında Stoll da tanık olarak dinlendi. Hess, nihayetinde casusluk dolayısıyla suçlu bulundu ve hapse mahkum edildi. Ancak sonrasında şartlı tahliye ile serbest bırakıldı.

Takip eden dönemde Stoll, yaşadıklarını kurgusallaştıracak ve bir roman olarak yayınlayacaktı. Gerçekten de 1989’da yayınlanan roman ‘Guguk Kuşu Yumurtası: Bilgisayar Casusluğu Labirenti Boyunca Bir Ajanın İzini Sürmek’ (The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage’) siber savunma açısından önemli bir eser olacak ve hızla artmakta olan siber tehditlerin tam tam seslerini ilgililerine duyurmaya başlayacaktı.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]