Siber saldırılar en çok hangi sektörlere yapılıyor? Amaç ne?
Siber saldırılar için genel bir sektör belirtmek zor. Saldıracak kişinin neye, nasıl motive olduğu daha çok önem kazanıyor. Sektörel anlamda baktığımızda, özellikle 2015 yılında finans, borsa, yatırım fonları ve döviz değişim borsalarının birincil tehdit altında olduğunu görüyoruz. Bunların yanı sıra, değerli veri barındırsın veya barındırmasın, tüm sektörlerin bir şekilde siber saldırıya maruz kaldığını görüyoruz. İnsanlar yeri geldiği zaman siber saldırıları kendileri için bir saldırı aracı, menfaat sağlama aracı, kin ve nefretlerini giderme aracı, değerli verilere ulaşma aracı olduğunu görüyoruz. Siber saldırıyı yapacak ekip veya kişinin motivasyonunu nasıl sağladığı, ne kadarlık bir motivasyonu olduğu burada ciddi bir önem kazanıyor. Motivasyonu kazanmak için ise, genelde karşı tarafta onu cezbedecek bir şeylerin olması gerekiyor. Bu para olabilir, değerli veriler olabilir, sadece onun zarar etmesinin vereceği mutluluk(!) olabilir.
Bu saldırıların kurumlara, şirketlere olan tahmini maliyeti nedir?
Siber saldırıların kurumlara veya şirketlere bilinen veya bilinmeyen iki tür maliyeti olmaktadır. Bilinen maliyet, sistemin kapalı kaldığı süre boyunca yapılamayan satışlar, devletin uğradığı maddi zararlar veya illegal yöntemlerle çalınan paralar olabilir. Bunun yanı sıra bir de bilinmeyen maliyet denilen bir husus var ki, insanların markaya bakış açısı, marka değerinde yaşanan ciddi düşüşler, ülkeye olan güvenin kaybedilmesi, şirketlere olan inancın yitirilmesi gibi birçok sonuca sebep olabilmektedir. Bu zararın ise ne boyutlarda olduğunu ölçmek çok zor maalesef. Zaman içerisinde zararlar gün yüzüne çıkmaya başlıyor.
Fidye yazılımları (ransomware), espiyonaj yazılımları ve sabotaj yazılımları hakkında bilgi verir misiniz? Kimler, hangi şekilde faydalanıyor?
Fidye saldırılarının tamamında amaç, değerli bir nesneyi alıp saklamak, sonrasında onu geri vermek için para talep etmek üzerine kuruludur. Fidye yazılımlarındaki ana mantık ta bu şekilde. Bilgisayarınıza sızan veya faydalı zannettiğiniz bir uygulama ile birlikte gelen bir fidye yazılımı, bilgisayar üzerinde yaptığı kısa bir analizden sonra bilgilerinizi bir yere toplayıp şifreliyor. Bilgilerinizi tekrar içerisinden kurtarıp kullanabilmek için şifreyi girmeniz gerekiyor. Şifre için ise $ 300 (türe göre değişebilir) civarında bir para ödemeniz gerekiyor. Şifre kırma yazılımları, dosyalarınızı geri döndürmek için kullanacağınız yazılımlar pek işe yaramıyor maalesef. Yapmanız gereken o parayı ödeyip, şifrenizi alıp dosyalarınızı kurtarmak. Fakat karşımızdaki insanların birer bilgisayar korsanı olduğunu düşünürsek, ödeme yapıldıktan sonra da şifreyi alıp alamayacağınız konusu da net değil.
Fidye yazılımlarıyla ilgili 2015 yılında konuşan FBI Boston ofisinde görevli ajan olan Joseph Bonavolonta da “Dürüst olmak gerekirse biz genellikle insanlara sadece fidyeyi ödemeyi tavsiye ediyoruz” çıkışıyla insanları şaşırtmıştı.
Espiyonaj (casusluk) yazılımlarına kısaca değinecek olursak, bu yazılımların amacı sistemlere zarar vermek değildir. Sistemde kalabildiği kadar uzun süre kalarak, sistemler üzerinden alacağı bilgileri programlandığı noktalara iletmek, bilgi transferi sağlamaktır. Bu tarz saldırıların genelde ülkeler arasında siber istihbarat sağlama amacıyla kullanıldığını düşünmemek mümkün değil. Espiyonaj yazılımlarının neredeyse tamamında, devletlerin bizzat kendi personellerinin veya devletlerin destekledikleri insanların olduğu aşikâr.
Kaç milyon yeni zararlı yazılım var? Gelecekteki riskler neler?
Zararlı yazılımları yapılış amaçlarına göre iki sınıfta gruplayabiliriz. Bir tanesi, tek bir hedefi olan ve özel olarak o hedefin belirli bir açığına yönelik hazırlanmış nokta atışı bir özel yazılım, diğeri ise genel olarak kullanıcıların tamamına sunulmuş, zararlı yazılım kullanıldığında yazılımın sahibinin haberdar olacağı yazılımlardır.
Ben bu işe yeni yeni başladığım zamanlarda yani yaklaşık bundan 8 yıl öncesinde piyasada “50 milyon zararlı yazılım” var haberleri dolaşıyordu. Yıl oldu 2016 ve raporlar yayınlanmaya devam ediyor. Bilgisayar piyasasının yanı sıra, cep telefonu veya iOT (nesnelerin interneti) gibi cihaz sayılarının artmış olması, mobil pazarın bu süreç içerisinde çok ciddi bir atak yapması da zararlı yazılımların kullanılabileceği yelpazeyi fazlasıyla genişletmiş oldu. Dolayısıyla şu an, evimizdeki/iş yerimizdeki bilgisayarımızdan, cebimizdeki cep telefonuna, çantamızdaki tabletimizden evimizdeki/arabamızdaki akıllı cihazlara kadar risk altındayız.
Teknoloji hepimizin hayatını çok ciddi ölçülerde rahatlatıyor. Teknoloji hayatımıza girdiğinden beri daha az yoruluyoruz, daha az emek harcayarak daha fazla iş yapabiliyoruz. Buna hiç birimizin itirazı da yok. Rahatladıkça tedbiri de elden bırakıyoruz. Bunun farkında olmamız gerekiyor. Teknolojinin nimetlerinin yanında, siber saldırıların da gelebileceğini unutmadan, her alanda önlemlerimizi alıyor olmamız gerekiyor.
Siber saldırıları kesinlikle hafife almamak gerekiyor. Geçtiğimiz dönemlerde siber saldırılar sonucunda yayınlanan belgelerden dolayı dünyada istifa eden başbakanları gördük. Milyon dolarlık şirketlerin bir anda iflas noktasına geldiğini gördük. Çok küçük zafiyetlerden kaynaklı olarak şirketlerin faaliyetlerinin günlerce durduğunu gördük. Şehirlerin saatlerce veya günlerce elektriksiz kaldığını gördük. Ülkemizde de yaşadığımız, milyonlarca insanın en mahrem bilgilerinin ortalıkta rahatlıkla dolaşabileceğini gördük. Teknolojinin nimetlerinden faydalanırken, hiçbir zaman gardımızı da düşürmeden her türlü tehlikeye de hazırlıklı olmamız gerekiyor.
Korunmak için ne tür önlemler alınmalı
Bu konuyu şu şekilde gruplayabiliriz. Bunlar şirketler veya kurumlar, diğeri ise bireysel insanlar olmak üzere iki gruba ayırılabilir.
Şirketler açısından düşünecek olursak, öncelikle şu konuyu gündemimize almamız gerekiyor. Yüzde 100 güvenlik diye bir şey yok. Dünya üzerinde yüzlerce, binlerce mühendisin koruduğu sistemlerin bile güvenlik zafiyetlerinin oluştuğunu, siber saldırılara maruz kaldıklarını düşünecek olursak, yüzde 100 güvenlik yoktur sözü daha da anlam kazanmış olacak. Burada bizim şirket veya kurum olarak yapmamız gereken, her an siber saldırı altında kalacakmış gibi sistemlerimizi, verilerimizi güvende tutmak. Kurallarımızı baştan net olarak belirterek insanların, insani hatalarını minimuma indirecek seviyede sistemi güvende tutmaya çalışmaktır. Sistemlere erişebilecek kişilerin yetki kontrollerinin düzenli olarak yapılması, Penetrasyon (sızma) testlerinin düzenli olarak yapılması, sistemin dışarıya açık olan kapılarının (IP, Port vs.) sürekli kontrollerinin yapılması hayati önem taşımaktadır. Sisteminizi dışardan birisinin, özellikle “beyaz şapkalı hacker” olarak nitelendirilen ve amacı bir hacker gözünden sisteminizi ve güvenlik açıklarınızı analiz etmek olan insanların sisteminizi kontrol etmesi önemlidir.
Kişisel anlamda düşünecek olursak, insanların öncelikle kazanacağı şey siber saldırı farkındalığıdır. İnternet üzerinde milyonlarca zararlı yazılım, yüz binlerce zararlı insan olduğunu düşünerek, dikkatli bir şekilde davranması önem kazanmaktadır. Bilmediği veya güvenli olduğuna emin olmadığı web sitelerine girmemeli, yayıncısı belli olmayan güvenilmeyen yazılımları indirmemeli/kurmamalıdır. Kendisine gelen e-postaları eğer gönderen kişiyi tanımıyorsa, doğrudan silmelidir. Facebook Messenger, Skype gibi çevrimiçi yazışma ortamlarında, güvendiği kişi dahi olsa, araya zararlı yazılımlarla sızabilecek insanların olabileceğini düşünerek, para veya bilgi istediğinde verilmemeli, bu tarz bir durumla karşılaştığında karşıdaki insanı telefonla arayarak veya yüz yüze görüşerek teyit etmelidir.
Dünyada en çok görülen atak çeşitleri? Türkiye’de durum ne?
Son dönemlerde az önce de bahsettiğimiz Fidye Yazılımları (Ransomware) ciddi bir popülarite kazanmış durumdadır. İnsanların verilerini şifreleyip tekrar onlara satmak, parasal anlamda da saldırganları tatmin ettiği ve insanların zafiyetlerinden faydalanarak bilgisayarlarına sızmak daha kolay olduğu için son dönemlerde kullanılan yöntemlerden bir tanesidir.
Türkiye’nin de yakın dönemlerde adını sıkça duyduğu DDoS (dağıtık servis dışı bırakma) saldırıları mevcut. Bu saldırıda amaç, sistemden herhangi bir veri çalma, veri sızdırma değildir. Buradaki tek amaç sistemi geçici olarak servis dışı bırakmaktır. Serverlar, yani bizim bilgilerimizi barındırdığımız bilgisayar sistemleri belli bir ağ genişliği ile çalışmaktadır. Örneğin saatte 100.000 kullanıcıya hizmet verebilecek şekilde yapılandırdığınız bir sisteme saatte 2-3 milyonluk istek gittiğinde bilgisayar sisteminiz hiç birisine cevap veremeyecek duruma gelip, kapalı duruma geçmektedir. 2010 yıllarında twitterin kapalı kalması, 2012 yılında Türk Hava Yollarında başlayan greve destek amacıyla THY’ye yapılan saldırı sonucu THY’ye ulaşılamaması, Rusya’nın Gürcistan anlaşmazlığından dolayı Rusya kurumsal web sitelerine yapılan saldırılar sonucu Rusya’nın saatlerce kurumsal hizmet verememesi gibi örneklendirilebilir. Son dönemlerde yaşanan, Türkiye’deki nic.tr sunucularına yapılan DDoS saldırıları sonucunda devlet kurumları, bankalar, federasyonlar, sendikalar gibi “com.tr – org.tr – gov.tr” uzantılı web sitelerinin saatlerce hizmet verememe sebebi de bir DDoS saldırısıdır.
Siber suçlular atak öncesi keşif için şirketler üzerinde ne tür hazırlıklar yapılıyor?
Siber saldırıları bir nevi hırsızlık olarak değerlendirebiliriz. Nasıl ki bir hırsız, bir şirkete girmeden önce hangi saatler arasında çalışılıyor, gireceği saatler arasında içerde kimler var ve kendisi için önemli olan belge veya paralar nerede saklanıyor bunların keşiflerini yapıyorsa, Siber saldırılarda da aynı mantık geçerli oluyor. Sistemin ağ yapısını öğrenmek, değerli verilerin nerelerde saklandığını anlayabilmek için sistemin dışarıya açık olan kapılarının yani IP numaraları veya web siteleri üzerinden gerekli analizlerin yapılması gerekiyor. Şirketteki insanların yetki durumlarının kontrolleri yapılıyor. Bunun amacı, en yetkili kullanıcıyı bulup, onun bilgisayarına ulaşıp onun bilgisayarı üzerinden yetki ile birlikte sisteme giriş yapıp verilere ulaşmaktır. Eğer bunu yapamıyorsa, herhangi bir bilgisayara sızıp, oradan yetki yükseltme işlemleri denenmektedir. Tabi yetkili kullanıcıların tespiti için e-posta adreslerini ve şirket içerisindeki durumları da araştırmaktadır. E-Posta üzerinden hedef alacağı bir kişiye, göndereceği zararlı e-posta ile bilgisayar sistemlerine girmeyi hedeflemektedir.
Bu veya buna benzer bir çok yöntem ile şirketler veya kurumlar üzerinde yapılacak keşifler sonrasında harekete geçilerek, kullanıcılara ulaşmak, oradan da sistemler üzerine ulaşmak hedeflenmektedir.
Atak sonrasında ne yapılabilir?
Yüzde 100 güvenlik olmadığını biraz önce de söylemiştik. Şirketlerin veya kurumların bu tarz bir siber saldırıya maruz kaldıklarında uygulayacakları bir “kriz planına” sahip olmaları hayati önem taşımaktadır. Bir siber saldırıya maruz kalmamak için her türlü önem alınmalıdır. Fakat buna rağmen, onlarca insanın gözünden kaçan bir açık olabilir. Bu tarz durumlarda, panik veya kaos ortamı yaratmadan, kullanıcılar veya müşterilerden hiçbir şeyi gizlemeye çalışmadan açıkça “hacklendik, fakat ne yapacağımızı biliyoruz” açıklamasını yapabiliyor olmak gerekiyor.
Atak sonrasında hangi verilerin, hangi yöntemle sızdırıldığını öncelikli olarak kontrol edip bulmak ve o açığı derhal kapatmak gerekiyor. Sonrasında sızan verilerin niteliğine göre, şirketin üst düzey yöneticileri ile yapılacak toplantılar sonrasında bunun nasıl telafi edileceği düşünülmeli, kararlaştırılmalı ve derhal uygulanmalıdır.
Siber ataklara veya saldırılara maruz kalan şirketlerin veya kurumların genel olarak yaşadıkları en büyük sorun, kriz anında kimin ne yapacağını bilmemesidir. Kriz anında kimin hangi görevden sorumlu olduğu, hangi alanları kontrol edeceği ve hangi işleri yapacağı net olarak tanımlanmalıdır.
Siber saldırıya maruz kalmak, verilerin çalışması bir itibar ve güven kaybıdır. Fakat şirketler veya kurumlar en çok siber saldırıya maruz kaldıktan sonra oluşan kaos ortamı yüzünden itibar ve güven kaybetmektedir.
Zararlı yazılımı önleme, yakalama, analiz tekniklerinin ne kadarı gerçek hayatta uygulanabiliyor?
Amatör olarak hazırlanan zararlı yazılımların neredeyse tamamını güncel anti virüs veya anti malware yazılımları yakalayabiliyor. Belki bireysel kullanıcıların normal hayat akışlarında bir anti virüs programı edinip, onu kullanmanın rahatlığına erişmesi normal olarak görülebilir. Fakat şirketlerin, bizim anti virüs uygulamamız var rahatlığı yaşaması, ona güvenmesi çok büyük risk oluşturmaktadır. “0day atak” diye bir kavram var. Hiçbir anti virüs programının henüz haberi olmayan, zararlı yazılım engelleyecek diğer yazılımların daha duymadığı, kendilerini ona göre güncellemediği yani kısaca bilinmeyen tehditler olarak adlandırılabilecek bir sistem açığıdır.
Anti virüs veya anti malware programlarının temel çalışma prensiplerinde, siber saldırıya maruz kalan bir şirketin hangi açıktan saldırıya uğradığının analiz edildikten sonra o kısmın da anti virüs veya anti malware uygulamasına riskli durum olarak eklenmesi yatmaktadır.
Kritik bilgilere sahip kurumların veya şirketlerin, bu tarz uygulamaları kullanması önerilmektedir. Fakat bu uygulamalara güvenmelerini kesinlikle önermiyoruz. Oluşacak “ 0day – zero day” ataklara veya kendi personelleri üzerinden bilerek veya bilmeyerek gelecek olan tehditler için de her zaman teyakkuzda olmaları gerekmektedir.
Eklemek istediğiniz bir şey var mı?
Öncelikle günden güne daha fazla önem kazanan Siber Saldırılar konusunda insanların farkındalık kazanması gerekiyor. Bu farkındalığı, otokontrolü geliştirmek için ise bunu yaşamaya gerek yok. Yaşanmış binlerce örnek, yüz binlerce saldırı varken, bize düşen olaylardan ders çıkartıp, elimizden geldiğince önlem almaktır.