Bu yazıda da bu ihtiyaca karşılık verebilmek amacıyla Zero-day nedir?, Zero-day istismarı nedir?, Zero-day nasıl tespit edilir? gibi soruları ele alıyoruz.
ZERO-DAY (0-DAY) ZAFİYETİ NEDİR?
Üç katlı bir bina inşa ettiğinizi varsayalım. Tüm işlemleri bitmiş bir evde sıcak sıcak oturuyorsunuz. Ancak ikinci katınızda bulunan bir odanın camında bulunan ufak bir delikten içeriye rüzgar giriyor ve siz, evi inşa eden kişi olarak bu durumdan haberdar değilsiniz.
Zero-day açıkları da bu durumla benzerlik taşır. İşletim sistemleri, yazılım, donanım, web tarayıcısı, ofis uygulaması, açık kaynaklı girişim ve IoT geliştiricilerinin, kendilerinin dahi önceden bilmediği açıklara “Zero-day (0-day/Sıfırıncı gün) güvenlik açıkları” denir. Zero-day açıkları, çoğu durumda herhangi bir saldırı gerçekleşene kadar tespit etmesi zor olan zafiyetlerdir.
ZERO-DAY GÜVENLİK AÇIĞI İSTİSMARI NEDİR?
Camdaki bir delik değil de pencere kolunun neredeyse açılacak düzeyde olduğunu düşünün. İkinci kata pek uğramadığınız için bu durumun farkında değilsiniz. Dışarıdan tespit etmesi de zor muhakkak. Ancak varsayalım dışarıdan bir hırsız, bu durumu fark etti ve ikinci katın bir odasının penceresinden içeriye girmenin yollarını aramaya koyuldu.
Zero-day istismarı (exploit) da daha önce tanımlanmamış, kaydedilmemiş ya da fark edilmemiş bir güvenlik açığına sahip sistemlere girebilmek veya saldırabilmek için kullanılan yönteme verilen isimdir. Bunun için genellikle sosyal mühendislik e-postaları aracılığıyla yapılır. Çoğu durumda bilinen veya tanıdık bir kişiden geliyormuş izlenimi veren sahte e-postalar içerisine çeşitli web sitesi adresleri konur. Eğer kurban, istenilen tuzağa düşerse, zararlı yazılım söz konusu cihaza yüklenmiş olur. Bu yol vasıtasıyla tehdit aktörleri, sistemlere sızmaya çalışır.
ZERO-DAY SALDIRISI NEDİR?
Hırsız, siz evde yokken pencerenizden içeri girdi , değerli olan eşyalarınızı çaldı veya akla gelebilecek farklı bir hasar verdi.
Benzer şekilde zero-day saldırılarının işleyişi de bu şekilde gerçekleşir. Açığı istismar ederek sistemlere giriş yapan tehdit aktörleri, giriş yaptığı sistemden veri çalabilir veya başka bir şekilde hasara neden olabilir. Böylelikle zero-day saldırıları gerçekleşmiş olur.
Zoom’un başına gelmeyen kalmadı: Sıfırıncı gün açıklığı 500 bin dolara satışa çıktı
Genel bir özet çıkarırsak süreç şöyle işler:
- Bir şirketin veya herhangi bir kurumun/kuruluşun geliştiricileri yazılım oluşturur, ancak bir güvenlik açığı içerdiğinden habersizdirler.
- Tehdit aktörü, bu güvenlik açığını geliştiriciden önce tespit eder veya geliştirici düzeltme şansı bulmadan önce harekete geçer.
- Saldırgan, güvenlik açığı kullanılabilir durumdayken istismar kodunu (exploit code) yazar ve uygular.
- İstismarı serbest bıraktıktan sonra, insanlar bunu kimlik veya bilgi hırsızlığı şeklinde tanır. Geliştiriciler bu durumu fark eder ve açığı kapatırlar.
KİMLER ZERO-DAY SALDIRILARI GERÇEKLEŞTİRİYOR VE HEDEFLERİ NELER?
Zero-day saldırılarını kimin gerçekleştirdiğinden ziyade hangi motivasyonlarla gerçekleştirildiği daha açıklayıcı olabilir. Bu anlamda bu saldırıları gerçekleştiren aktörler arasında siyasi motivasyonla hareket eden devlet destekli veya desteksiz aktörler, finansal motivasyonla hareket eden tehdit aktörleri, sosyal konulara dikkat çekmeye çalışan hacktivistler, şirketler arasında bilgi çalmaya çalışan kurumsal aktörler yer alıyor.
Farklı motivasyonlarla hareket eden aktörlerin hedefleri de bu anlamda farklılaşıyor. Devlet sistemleri, siyasi figürler, şirketler, büyük/küçük işletmeler kurbanlar arasında yer alırken çeşitli donanım aygıtları, yazılımlar, IoT, kişisel veriler, söz konusu aktörlerin hedefledikleri arasında bulunuyor.
ZERO-DAY SALDIRILARI NASIL TESPİT EDİLİR?
Zero-day zafiyetlerinin çok çeşitli sebepleri olabilir. Veri şifrelemeden parola güvenliğine, hatalı algoritmalardan yetkilendirmelere dek geniş bir yelpazede bulunabileceği için keşfedilmesi oldukça zordur. Bu sebeple çoğu durumda zero-dayler, istismar edildikten sonra güncelleştirmeler veya yamalarla kapatılıyor.
İnternet trafiğini taramak, gelen dosyaların kodlarını incelemek ve zararlı yazılım yöntemlerinden yararlanmak da dahil olmak üzere, zero-day güvenlik açıklarını tespit etmenin çeşitli teknik yolları vardır.
2020: Zoom
Popüler video konferans platformunda bir güvenlik açığı bulundu. Bu zero-day saldırısı örneğinde, siber tehdit unsurları, Windows’un eski bir sürümünü kullanan kullanıcıların bilgisayarlarına uzaktan erişebilmeyi başarmıştı.
2020: Apple iOS
2020 yılında, saldırganların iPhone’ları uzaktan ele geçirmesine olanak sağlayan zero-day hatası da dahil olmak üzere en az iki iOS zero-day zafiyeti ortaya çıktı.
2019: Microsoft Windows, Doğu Avrupa
Yerel yükseltme ayrıcalıklarına ve Microsoft Windows’un savunmasız bir kısmına odaklanan bu saldırıda Doğu Avrupa’daki devlet kurumları hedef alındı. Zero-day istismarı, Microsoft Windows’ta rasgele kod çalıştırmak, uygulamaları yüklemek ve güvenliği aşılmış uygulamalardaki verileri görüntülemek ve değiştirmek için bir yerel ayrıcalık zafiyetini kullandı.
2017: Microsoft Word
Zero-day istismarıyla kişisel banka hesap bilgileri ele geçirildi. Kurbanlar, farkında olmadan kötü amaçlı bir Word belgesini açtılar. Belgede, kullanıcılardan başka bir programdan harici erişim talep eden bir açılır pencere gösteren bir “uzak içerik yükle” istemi görüntüleniyordu. Kurbanlar “evet” seçeneğine tıkladığında, bankacılık oturum açma kimlik bilgilerini kaydedebilen kötü amaçlı yazılım cihaza yükleniyordu.
STUXNET
Zero-day saldırısının en ünlü örneklerinden biri de Stuxnet’ti. İlk olarak 2010 yılında keşfedilen ancak kökleri 2005’e kadar giden bu kötü amaçlı bilgisayar solucanı, programlanabilir mantıksal denetleyici (PLC) yazılımı çalıştıran üretim bilgisayarlarını etkiledi.
Başlıca hedefi, ülkenin nükleer programına zarar vermek için İran’ın uranyum zenginleştirme santralleri oldu. Solucan, PLC’lere Siemens Step7 yazılımındaki güvenlik açıklarıyla sızarak PLC’lerin montaj hattı makinelerinde beklenmeyen komutlar gerçekleştirmelerine yol açtı. Stuxnet’in hikayesi daha sonra Zero Days adlı bir belgesele konu oldu.
