Hayatımızın her alanında, vazgeçilemez hale gelmeye devam eden teknoloji ve birbirine bağlı sistemler, insanlık tarihinde yeni bir kavramın ortaya çıkmasına sebep olmuştur. Başına siber ön eki ilave edilerek kullanılan kavramlar, teknolojik alanı, özellikle de internet benzeri ağlarla birbirine bağlı yapıların oluşturduğu alanı ifade etmekte kullanılıyorlar. Siber uzay, siber saldırı, siber tehdit bunlara verilebilecek örneklerden bazıları.
Ortaya çıkan bu (siber) yeni kavram, hayatın içinde olduğu kadar normal hayatın dışındaymış gibi farklı bir boyuta da sahip. Normal yaşamda kendisini gayet iyi tanıdığımız bir insanın, siber ortamda hareket ederken hiç tanımadığımız veya ortaya çıkmayan yönlerine de şahit olabilmek mümkün.
Tüm bu kavramlar ve davranış tarzları, bilime yeni araştırma alanları oluşturmakta.
Bu yazımızda, öncelikle siber uzayın tanımını yapacağız. Bu tanımla birlikte siber uzayın aktörlerini ortaya koymaya çalışacağız. Konunun çok farklı boyutları bulunduğundan, biz burada sadece aktörlerden bahsedeceğiz. Ekonomik, psikolojik ve davranışlar ile ilgili konulara diğer yazılarımızda yer vermeyi düşünüyoruz.
Siber Uzay Tanımı
Geçtiğimiz günlerde Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından 2016-2019 Ulusal Siber Güvenlik Strateji belgesi yayımlandı. Strateji Belgesinde, tespit edilen ve stratejik olarak öngörülen gelişmeler yer alıyor. Bu belgede “Siber Uzay: Tüm dünyaya ve uzaya yayılmış durumda bulunan bilişim sistemlerinden ve bunları birbirine bağlayan ağlardan oluşan veya bağımsız bilgi sistemlerinden oluşan sayısal ortam” olarak tanımlanıyor.
Tüm bu Siber Uzayı analiz etmek için, içerisinde bulunan aktörleri ortaya koymadan ilerlememiz mümkün görünmüyor. Kendi zayıf ve kuvvetli taraflarımızı tespit edebilmek için oyunun içerisinde bulunan oyuncuları tanımak mutlak bir gereklilik. Öyleyse bu ortamın aktörlerini kategorilere ayıralım.
Aktörlerin Kategorileri
Hükümet Destekli Yapılar:
Bu aktörler, ülkelerin milli çıkarları göz önünde tutularak finanse edilen ve karmaşık alt yapılar kurup işletebilecek imkana sahiptir. Genellikle politik, ekonomik, teknik veya askeri bir takım motivasyona sahiptirler.
Gerçekleştirdikleri saldırılar, rastgele olmayan, özel seçilmiş hedeflere yöneliktir. Günümüzde siber alanda nispeten gelişmiş ülkelerin, bir mücadelede kuvvet çarpanı olarak kullanmak amacıyla hazırladığı, geliştirdiği ve kullanıma hazır halde tuttukları sistemleri ve yapıları bu grup içerisinde kabul edebiliriz.
Organize Suç Yapıları:
Bu yapılar, ciddi oranda menfaat elde edebilmek için, geçici süreyle ve belli bir zaman kısıtı içerisinde toplu saldırılar yapma imkanına sahiptirler. Yaptıkları saldırılarda hedefleri Kişisel bilgileri ele geçirmektir. Sosyal güvenlik numaraları, kredi kart bilgileri ve hesap numaraları benzeri kıymetli bilgileri elde etmek ve pazarlamak amacındadırlar.
Hacktivistler:
Bir takım politik düşünce ve fikirlerin propagandasını yaymak için meydana gelen oluşumlardır. Karşı oldukları fikir veya sistemlere saldırı yaparak kendi propagandalarını yaparlar. Ortaya çıkan sansasyonel gündemden faydalanarak varlıklarını duyurmak ve devam ettirmek amacındadırlar. Yaptıkları açıklamalarla, haklılıklarını savunma yolunu takip ederler.
İç Tehditler:
Bu tür aktörler genellikle eski çalışanlar veya işten çıkarılanlardan oluşur. İntikam almak ya da belli bir miktar kazanç elde etmek niyetindedirler. Bu amaçları doğrultusunda rakip firmalarla işbirliği de yapabilirler.
Fırsatçılar:
Literatürde Script Kiddies olarak tanımlanan bu grup aktörler, sistemlerin açıklarını, zafiyetlerini keşfederek menfaat elde etme amacındadırlar. Profesyonel hacker olabilecekleri gibi, bir kaç teknik öğrenmiş ve heyecan arayan kişilere kadar çeşitli profile sahip olabilirler.
Büyük bir yapının üyesi olabilmek için kendilerini ispat etme gayreti gösterebilirler. Profesyonel hacker iseler, daha büyük bir aktörler grubuna dahil olma niyetiyle sistemleri araştırırlar.
Dahili Hatalı Kullanıcılar:
Tam olarak ne yaptığını bilmeyen çalışanların, sistem ayarlarında yaptıkları bir takım hataların neticesinde sistemler dışarıya karşı zayıf hale düşebilir. Böyle eğitim eksikliği bulunanlar bu gruba dahildir.
Güvenlik bilinci eksik kullanıcıları, gelen her türlü postaya tıklayarak tehlikeyi farkında olmadan içeri alanları da hata yapan dahili kullanıcılara ilave edebiliriz.
Aktörlerin Takip Ettikleri Aşamalar
Keşif:
Bu aşamada saldırganlar, hedef hakkında olabildiğince bilgi toplamaya çalışırlar. Sistemin yapısını öğrenmeye çalışır ve hangi durumda ne tepki veriliyor anlamak isterler. Sistem tarama yöntemlerini kullanarak, zayıflıkları bulunan cihazları tespit etmeye gayret ederler.
Sosyal medya ve açık kaynaklardan hedef firma ve yapı hakkında bilgi elde etmek için bir takım teknikler kullanırlar. Hedefin iş ilişkisi bulunan 3.taraflar üzerinde de keşif ve tarama yaparlar.
Hazırlık:
Hazılık aşamasında, keşif sonucu elde edilen bilgiler ışığında hedefe yönelik program hazırlama ve kodlama yöntemleri kullanılır. Fark edilmemek için gerekli teknikleri geliştirilir. Arkalarında yeterince maddi destek bulunan aktörler, genellikle herkesin bildiği açıklıkları değil, Zero-Day olarak ifade edilen zafiyetleri kullanmayı tercih ederler. Bu zafiyetleri keşfetmek için kendileri çalışma yürütebilecekleri gibi satın alma yöntemi de kullanabilirler.
Maddi imkanları kısıtlı olan aktörler, herkes tarafından satın alınabilecek türde yazılmış programları kullanmayı tercih ederler. Bu tür zararlı yazılımlar nispeten daha ucuzdur. Her türlü durumda, bu zararlı yazılımlar, sistemleri koruyan firewall benzeri sistemleri atlatmak üzere dizayn edilmiş yapılardır.
Teslimat:
Hazırlık aşamasında elde edilen yazılım, bu aşamada hedef sisteme bulaştırılmak istenir. Bunun için başarı ihtimali en yüksek yöntem seçilmelidir. Bu yöntemi bulmak için genellikle sosyal mühendislik teknikleri ile desteklenen denemeler yapılır. Yazılımın bulaşması için gereken tek işlem, bir linke tıklamaktır. Hedef sistemi koruyan firewall benzeri önlemler, dışarıdan içeri girişleri engellemesine rağmen, sistem içerisinden dışarı çıkışları denetlemede yetersiz kalırlar.
Bir çalışanın posta kutusuna gelen mesajın içerisine yerleştirilen link, tıklanması için her türlü inandırıcılık ile dizayn edilir. Gönderici kaynağı, konusu ve insan merakı ile ilgili tüm zafiyetler kullanılabilir.
Bu teknik işe yaramadığı takdirde, zararlı yazılımlar web siteleri ve reklamlar aracılığı ile hedefe ulaştırılmaya çalışılır. Her hal ve şartta, kullanıcı eğitimi göz ardı edilemeyecek kadar önem arz etmektedir.
İstismar:
Teslimat aşaması başarılı olduğu takdirde, zararlı yazılımın ilk önceliği içerisinde bulunduğu sistemde fark edilmeden var olaya devam etmeye çalışmasıdır. Bunun için, işletim sisteminin güvenlik mekanizmalarını atlatmak ve sistemde kalıcılık sağlamak gerekir.
Sistem kullanıcısının iznine tabi web tarayıcı eklentilerinin içerisine gizlenebilecekleri gibi, çalıştırılmayan (executable) doküman ve resim türü veri dosyalarının içerisine de gizlenebilirler. Son zamanlarda sıkça duyduğumuz Advanced Persistent Thread (APT) yazılımları, bu türden ve tespit edilmesi en zor kod örnekleridir.
Komuta Kontrol:
Sistemde yerleşen ve fark edilmeden gizlenen program, uygun bir zaman bulduğunda asıl merkezi sunucuna bağlanır ve daha geniş kabiliyete sahip yazılımları indirmeye çalışır. Bu işlem için kullandığı iletişimi, bulunduğu sistemin izin verdiği protokoller üzerinden gerçekleştirir. İstekleri, her sistemin kabul ettiği HTTPS, DNS veya TOR benzeri yollarla gönderirler. Günümüzde bu protokoller de güvenli sertifikalar kullandığından, zararlı yazılımların keşfedilmesi de zorlaşmıştır.
Dahili Keşif:
Komuta kontrol bağlantı ve iletişimi sağlanarak indirilen diğer yazılım parçaları da sisteme dahil olduğunda, detaylı keşif ve kullanıcı bilgileri elde edilmeye çalışılır. Yerleşik olarak bulunduğu sistemin, ağ üzerinde bağlı bulunduğu diğer sunucu ve üyelere ulaşılmaya çalışılır. Tüm bu elde edilen veriler yine güvenli protokoller ardına gizlenerek Komuta Kontrol sunucusuna iletilir.
Devamlılık:
Yeterince bilgi elde edilip dahili yapı ortaya çıkarıldıktan sonra sistemde tam kalıcılık elde edilmeye çalışılacaktır. Bunun için sistem kapatılıp açılsa dahi, sistemin başlangıcında ve fark edilmeden çalışabilen bootkit yazılımları MBR bölümüne yerleştirilir. Bir başka yöntem ise kullanıcı denetimi yapan veri tabanlarına, en yetkili kullanıcı ilave ederek sisteme her zaman giriş yetkisi elde etmektir.
Siber Uzay olarak ifade edilen ortamda aktörlerin kimler olabileceğini ve yaklaşık olarak hayata geçirilen aşamaları anlattığımız bu yazı başlangıç olarak yeterli duruma geldi. Yukarıda bahsedilen başlıkların her birisi detaylı olarak incelenmesi ve üzerinde çalışılması gereken konulara kapı aralıyor. İlerleyen günlerde bu konuları da açıklamaya çalışacağız. Görüş ve önerilerinizi bizimle paylaşabilirsiniz.