Dijital Savaş Alanı: Etik ve Kötü Amaçlı Bilgisayar Korsanları
Giriiş
2011 yılında Citibank'ın (Citigroup) yaklaşık 2,7 milyon doların çalınmasıyla sonuçlanan bir siber saldırıya uğradığını biliyor musunuz?
Aktörler web sitelerindeki basit bir veri ihlalinden faydalandılar. Tespit edilene kadar aylardır bu özelliği kullanıyorlardı. 360.000'den fazla hesap etkilendiğinden banka bundan çok zarar gördü ve bundan kurtulmak oldukça zordu.
Özet
Bilgi Güvenliğinin Doğuşu
Son yirmi yılda bilgisayar bilimi büyük ölçüde büyüdü; pek çok şey keşfedildi ve pek çok şey geliştirildi. Günümüzde bilgisayarların ve teknolojilerin başlangıçta var olanlarla en azından biçim ve işlevsellik açısından hiçbir ilgisi yoktur. Yeni bir hazineyi ortaya çıkaran da buydu, daha önce kolayca ulaşılamayan bir hazine. Onunla pek çok şey farklı olurdu, bu Bilgi.
Bilginin önemi o kadar arttı ki insan hayatını kurtarabilir! Günlük hayatımızda da çok önemlidir ve onu birçok biçimde buluruz. Bu yazımızda dijital bilgilerden yani bilgisayarlarda saklanan bilgilerden bahsedeceğiz ve buna veri adını vereceğiz.
Veriler her yerde; okullarda, hastanelerde, bankalarda, hükümetlerde, ordularda, süper marketlerde vb. Yani temelde dünyadaki herkesin verisi var. Önemi kişiden kişiye ve kullanımdan diğerine farklılık gösterir; bazen çok kritik olabilir.
Ne yazık ki bu dünyada hiçbir şey mükemmel olmadığından bu bilgilere erişim tehlikeye girebilir. Bu çoğunlukla birçok biçimdeki insan faktöründen kaynaklanmaktadır. Bu bir hata, bir gözden kaçırma veya bazen basit bir ihmal olabilir. Bu, dijital sistemde güvenlik açıkları oluşmasına yol açabilir; bu açıklara güvenlik açıkları diyoruz.
Ve bu açıklardan yararlanıp, kendi menfaatleri için onları hedef almaya çalışan, kötü niyetli pek çok insan var. Onlara Hackerlar denir.
Bilgisayar korsanları suçlu olarak görülüyor ve bu hiç de yanlış değil. Eylemlerinin sonuçları, para kaybı ve birçok insanın hayatının mahvolması da dahil olmak üzere felaketle sonuçlanabilir, ancak bazen göz ardı edilemeyecek kadar küçük hasarlar da olabilir. Bu sonuçların bazılarına daha sonra göz atacağız.
Bunların varlığı, kendilerine karşı (hackerlar) savaşan kişilerin bulunmasını sağlayarak Bilgi Güvenliği'ne önem verilmesini kaçınılmaz hale getirmiştir.
Etik Bilgisayar Korsanları olarak adlandırılırlar ve görevleri temel olarak bilgisayar korsanlarının saldırılarını (siber saldırılar olarak da bilinir) önlemek veya en aza indirmektir. Dijital dünyayı daha güvenli bir yer haline getirmek için çalışan insanlardır.
Siber Saldırılar
Dolayısıyla siber saldırılar, daha önce de belirtildiği gibi, bilgisayar korsanlarının eylemleridir. Bilgisayar korsanları, birçok kötü amaçlı amaç doğrultusunda verileri çalmak, yetkisiz değişiklikler yapmak ve hatta verileri yok etmek amacıyla sistemlere saldırır.
Bu saldırıların çoğu bu üç kategoriden birine kategorize edilebilir.
Sistemlere yönelik saldırılar
Bu durumda güvenlik açıkları genellikle sistemdeki teknik bir hatadan kaynaklanmaktadır. Bilgisayar korsanları sistem ve sistemin nasıl çalıştığı hakkındaki bilgilerini, sistemi kendi lehlerine kullanmanın istenmeyen bir yolunu bulmak için kullanırlar ve bir kaynağa, hatta bir bütün olarak sisteme yetkisiz erişim sağlayabilirler.
Genel olarak şunlardan bahsediyoruz:
-
Sıfır Gün açıklarından yararlanma (yakın zamanda keşfedilen, yamalı olmayan güvenlik açıkları, bu da bunların sistemin en son sürümünde hala mevcut olduğu anlamına gelir).
-
CVE'ler (güvenlik açığından yararlanma kodları), güncelliğini kaybetmiş sistemlerle ilgili kavramların kanıtlarıdır.
-
Ortadaki adam saldırıları, Hizmet Reddi (DOS), Dağıtılmış Hizmet Reddi (DDOS) vb.
İnsanlara yönelik saldırılar
Dijital bir sistemdeki en savunmasız noktanın insanlar olduğu yaygın olarak bilinmektedir. İçindeki en öngörülemeyen aktör. Aslında pek çok siber saldırı, şirketlerde çalışan, kritik verileri açığa çıkaran veya birçok sistemde felaketle sonuçlanan eylemler gerçekleştiren kişilere karşı gerçekleştirildi.
İşte açığa çıkarmak istediğim bir alıntı
'İnsan aptallığının çaresi yok'
Bu, bir bilgisayar korsanı insanları hacklemeyi başardığında hiçbir şeyin yapılamayacağı anlamına gelir! Burada, phishing gibi birçok tekniği kullanarak kişinin zihniyetini hacklemeyi amaçlayan sosyal mühendislikten daha fazla bahsedeceğiz.
İnsanlar aracılığıyla sistemlere yönelik saldırılar
Bu durumda saldırının amacı genellikle verileri yok etmek veya sistemi arızalandırmaktır. Bu, insanların kötü amaçlı yazılım adı verilen kötü amaçlı bilgisayar programlarını kullanmasını sağlayarak yapılır.
Bunlar ya verileri yok eden, şeklini tamamen değiştiren, kullanılamaz hale getiren, hatta sızdıran ve bu da çok ciddi sonuçlara yol açan programlardır. Ve bu da işi
-
virüsler: bir sistemde veya ağda çok hızlı yayılan programlar
-
fidye yazılımı: verileri güçlü bir algoritma aracılığıyla şifreleyen ve geri almak için fidye isteyen kötü amaçlı yazılım.
-
Truva atları, solucanlar vb.
-
Öte yandan, kötü amaçlı yazılımlar boşta kalabilir ve casus yazılımların yaptığı gibi yalnızca verileri çalabilir.
Ve gördüğünüz gibi bunlar ancak insan hatalarının onları bir şekilde sisteme dahil etmesiyle sağlanıyor.
Bazı Kritik Siber Felaketler
Son on yılda dünya, ciddi sonuçlar doğuran çok sayıda siber saldırıya tanık oldu.
Bu durum kuruluşların sistem güvenliğine daha fazla önem vermesine neden oldu.
İşte en bilinenlerinden bazıları:
- Sony Pictures Hack (2014)
2014 yılında Sony Pictures Entertainment'a yapılan ve Kuzey Kore'ye atfedilen siber saldırı, yayınlanmamış filmler ve hassas çalışan bilgileri de dahil olmak üzere gizli verilerin açığa çıkmasına yol açtı. "Barış Muhafızları" takma adı altında faaliyet gösteren failler, Sony'den, Kuzey Kore liderine suikast yapılmasını içeren kurgusal bir komplonun yer aldığı "The Interview" filminin gösterime girmesini durdurmasını talep etti.
- WannaCry Fidye Yazılımı (2017)
Dünya çapında bir fidye yazılımı saldırısı olan WannaCry, özellikle eski Windows sürümlerini kullanan bilgisayarları hedef aldı. Bu kötü amaçlı program hızla yayıldı ve dünya çapında hem kuruluşları hem de bireyleri etkiledi. Kurbanların dosyalarını şifrelemek için NSA'dan çalınan bir güvenlik açığından yararlandı ve kurbanların veri şifresini çözmek için fidye ödemesine neden oldu. Önemli bir hasar meydana gelmeden önce, bir güvenlik araştırmacısı tesadüfen saldırıyı durduracak bir mekanizma tespit etti.
- SolarWinds Siber Saldırısı (2020)
SolarWinds siber saldırısı, önde gelen bir BT yönetim firması olan SolarWinds'i hedef alan, karmaşık bir şekilde planlanmış bir tedarik zinciri ihlaliydi. Saldırganlar, SolarWinds'in yazılım güncellemelerini ele geçirerek onlara devlet kurumları ve önde gelen şirketler de dahil olmak üzere çeşitli kuruluşların sistemlerine erişim sağladı. Saldırının Rus Gelişmiş Kalıcı Tehdit (APT) grubuyla bağlantılı olduğu belirtildi.
- Log4j (2021)
Yirmi yıllık bir geçmişe sahip köklü bir Java yardımcı programı olan Log4j, Aralık 2021'de Log4Shell adlı kritik bir güvenlik açığının keşfedilmesiyle çok önemli bir anla karşılaştı. Bu kusur, kimliği doğrulanmamış ve vasıfsız kötü niyetli aktörlerin uygulamaların kontrolünü ele geçirmesine izin vererek pahalı güvenlik ihlallerine yol açtı.
- Twitter (2022 Sosyal Mühendislik Saldırısından 5,4 Milyon Kullanıcı Hesabı Çalındı)
5 Ağustos 2022'de Twitter, "şeytan" takma adı altında faaliyet gösteren bir bilgisayar korsanının sıfır gün güvenlik açığından yararlandığını ortaya koyan şaşırtıcı bir duyuru yaptı. Bu ihlal, telefon numaraları ve e-posta adresleri gibi kişisel kimlik bilgilerini sosyal medya platformundaki kullanıcı hesaplarına bağlamalarına olanak tanıdı.
Bu güvenlik açığının sunduğu fırsatı değerlendiren bilgisayar korsanı, daha sonra çevrimiçi forumlarda geniş bir veri kümesi yayınladı ve bunu 30.000 ABD Doları olarak fiyatlandırdı. Hatanın varlığı Haziran 2021'de kamuoyuna duyuruldu ve 5 milyondan fazla kullanıcıyı etkiledi.
Bu olaya yanıt olarak Twitter hızlı bir şekilde harekete geçerek etkilenen hesap sahiplerine doğrudan ulaşarak rehberlik sağladı. Kullanıcıları, hesaplarına yetkisiz erişime karşı temel bir koruma olarak iki faktörlü kimlik doğrulamayı uygulamaya çağırdılar.
Etik Hackerlar
Daha önce de belirtildiği gibi, teknoloji alanında bilgisayar korsanlarının yükselişi, kuruluşların sistem güvenliklerini artıracak çözümler üzerinde düşünmesine neden oldu.
Bu nedenle, bu sistemleri gözden geçirmek ve güvenlik açıklarını tespit etmek ve bunları yamamak veya düzeltmek için para ödeyecek pozisyonlar veya işler bulmaları gerekiyordu. Bu pozisyonları alan kişiler aslında etik hacker dediğimiz kişilerdir.
Etik hackleme iki ana kategoriye ayrılır
-
Saldırı Güvenliği: Sızma testi veya etik bilgisayar korsanlığı olarak da bilinen bu güvenlik açıklarını ve zayıflıkları belirlemek için bir kuruluşun sistemlerine yönelik siber saldırıları simüle etme uygulamasıdır. Saldırgan güvenliğin temel amacı, kötü niyetli aktörlerin bu sorunları istismar edebilmesinden önce güvenlik sorunlarını proaktif bir şekilde keşfetmek ve ele almaktır.
-
Savunma Güvenliği: Bir kuruluşun sistemlerini, verilerini ve ağ altyapısını potansiyel tehditlerden korumaya odaklanır. Birincil amacı yetkisiz erişimi, veri ihlallerini ve diğer güvenlik olaylarını önlemektir.
Etik hackleme, bir sistemi güvence altına alırken genellikle farklı yaklaşımlar veya ekipler gerektirir; bunlardan bazıları:
-
Kırmızı ekip oluşturma: bir kuruluşun sistemlerinin, süreçlerinin ve savunmalarının güvenliğini test etmeye ve değerlendirmeye yönelik yapılandırılmış ve sistematik bir yaklaşımdır. Bir kuruluşun güvenlik duruşunu, güvenlik açıklarını ve genel dayanıklılığını değerlendirmek için siber saldırıların ve diğer tehditlerin simüle edilmesini içerir. Kırmızı ekibin temel amacı, bir kuruluşun güvenlik yeteneklerinin tarafsız ve gerçekçi bir değerlendirmesini sağlamak ve geleneksel güvenlik testi yöntemleriyle belirgin olmayabilecek zayıflıkları belirlemektir.
-
Mavi Ekip Oluşturma: Mavi Ekipler, bir kuruluşun dijital varlıklarını, sistemlerini ve verilerini siber tehditlerden korumanın yanı sıra güvenlik olaylarını tespit edip bunlara yanıt vermekten de sorumludur. Saldırıları ve düşmanca faaliyetleri simüle eden kırmızı ekiplerin aksine, mavi ekipler öncelikle kuruluşun güvenlik duruşunu korumak ve geliştirmekle ilgilenir.
-
Mor ekip oluşturma: bir kuruluş içindeki hem kırmızı ekiplerin hem de mavi ekiplerin çabalarını birleştiren, siber güvenliğe yönelik işbirliğine dayalı ve entegre bir yaklaşımdır. Mor ekip oluşturmanın amacı, bu iki ekip arasındaki iletişimi, bilgi paylaşımını ve ortak testleri kolaylaştırarak bir kuruluşun genel güvenlik duruşunu iyileştirmektir.
Aşağıdaki resimde gösterildiği gibi daha uzmanlaşmış başka türde ekipler de var
Bilgi dünyasındaki rollerinin önemine bakıldığında, bilgi güvenliği alanında penetrasyon testi ve uygulama incelemesi gibi hizmetler sağlama konusunda uzmanlaşmış çok sayıda kuruluş ve kuruluş bulunmaktadır.
Bug Bounty Hunting programlarının (sistemlerinde buldukları güvenlik açıklarını bildiren bireyleri ödüllendiren şirketler tarafından başlatılan programlar) ortaya çıkmasıyla, yalnızca kuruluşlar değil, aynı zamanda bu alandaki serbest çalışanlar da ilginç bir artış gördü.
Çözüm
Sonuç olarak şunu belirtmeliyiz ki, dijital bilgi kritik bir kaynak olarak kaldığı sürece etik ve etik olmayan hackerlar arasındaki savaşın bitecek bir şey olmadığını belirtmeliyiz.
Hiç teknik bilgi gerektirmeyen bilgi güvenliği uygulamaları konusunda herkesin bilgi sahibi olması gerekir. Ayrıca siber güvenlik alanında kariyer yapmayı düşünmek ilginç bir seçim çünkü etik hackerlara çok fazla talep var ve hemen öğrenmeye başlamak için pek çok kaynak var! Bu yazımızı sonlandırırken size bir sorumuz var. Hiç kimlik avı gibi bir siber saldırıdan etkilendiniz mi veya fidye yazılımı veya virüsten zaten etkilendiniz mi? Bize bildirin!
