Kim daha akıllı? Hackerlar mı yoksa güvenlik uzmanları mı?
Sıkça sorulan bu soru aslında yanlış soruluyor. Kimin motivasyonu daha yüksek ve zamanı daha bol diye sorulmalı. Çünkü bilgiden, akıldan daha önemli olan motivasyon ve zaman. Hiçbir kurumun temel işi saldırılara veya güvenlik açıklarına karşı önlemler geliştirmek ve bunları uygulamak değil, her birinin kendi alanında bambaşka işleri ve rakipleri mevcut. Böyle olunca bilgi güvenliği işi kurum içinden veya dışından servis olarak alınıyor. Peki kurumlar asıl işleriyle uğraşırken saldırganlar ne yapıyor? Motivasyonları yüksek, zamanları bol olduğu için tüm enerjilerini büyük bir kararlılıkla güvenlik sistemlerini atlatmak için çözüm üretmeye harcıyorlar. Yani boş durmuyorlar. Bu durumda motivasyonu yüksek, zamanı bol olan kişiler hep bir adım önde oluyor. Bilgi güvenliği uzmanları ise atlatılan güvenlik sisteminin zayıf noktasını tespit edip önlem alıyor. Sıra saldırganların yeni güvenlik önlemini atlatmasına geçiyor. Bu döngü bu şekilde devam ediyor.(Şekil-1) Son yıllarda yarış iyice kızışmış durumda. Saldırganlar tarafından aklın sınırlarını zorlayan yöntemler geliştiriliyor. Bu sıradışı yöntemlerle en çok kimleri mi hedef alıyorlar? Tabi ki bankaları.
Şekil-1. Saldırgan-Güvenlik Uzmanı Yaşam Döngüsü
Yukarıda bahsedilen motivasyon ve zaman etkenlerinden dolayı
bankacılık zararlı yazılımları şaşırtacak derecede karmaşıklaşıyor ve tespit
edilemez hale geliyor. Zararlı yazılımların gelişim süreci de bankacılık sistemlerinin gelişim sürecine paralel olarak ilerliyor. Bankacılık hizmetinin bilgisayar üzerinden verilmeye
başlandığı ilk yıllarda saldırılar doğrudan sistemleri hedef alıyordu. Bankalar
buna önlem alarak sınır güvenliğini daha yönetilebilir ve engelleyici hale
getirdiler. Daha sonra internet bankacılığı kullanılmaya başlandı. İlk
zamanlarda güvensiz olarak görülse de herkes tarafından benimsendi ve kullanım
oranları ciddi seviyede arttı. Bankaların sistemler üzerinde aldıkları güvenlik
önlemleri saldırganları bu sefer internet bankacılığı kullanıcılarına yöneltti.
Tek aşamalı kimlik doğrulamayı çok kolay aşarak binlerce kişiyi maddi zararlara
uğrattılar. Bu kez internet bankacılığı kullanımı alınan çeşitli
önlemlerle daha güvenli hale gelmeye başladı. Günümüzde ise hem doğrudan bankacılık
sistemlerine yapılan saldırılara hem müşteriyi hedef alan saldırılara karşı
gerek mevzuat anlamında gerekse daha güvenli bir hizmet sunmak için en üst
düzeyde güvenlik önlemleri alınmaya başlandı. Peki alınan önlemler arttıkça
saldırganlar ne yapıyor? Söz konusu para olunca zaman ve mekan bağımsız çalışıyorlar. Bu yüzden bankacılık zararlıları Şekil-1’de
gösterilen döngünün içinde sık sık kabuk değiştiriyor. En son versiyonlarından bir tanesi Şubat
2015'te Kaspersky
tarafından yayınlanan raporda detaylı olarak incelendi. Bu raporda bankacılık sistemleri için özel olarak
tasarlanmış son derece karmaşık bir hedef odaklı zararlı yazılımdan
bahsediliyor. Bu zararlının adı "Carbanak". Bu zararlı sayesinde 30
ülkede 100 finans kurumundan 1 Milyar $ çalındığı
söyleniyor. Raporu okuduktan sonra işimizin hiç te kolay olmadığını bir kez
daha gördüm. Bu yüzden bu raporu, yapmak istediğiniz güvenlik projelerinde, risk
değerlendirmelerinde ve sistem geliştirmelerinde önemli bir referans olarak
kullanabilirsiniz. Şimdi bu zararlının sisteme nasıl bulaştığını, keşif ve
istismar evrelerini rapordan alıntılayarak anlatalım.
Bulaşma, Yayılma ve Keşif:
Saldırganlar hedefe yönelik oltalama (spear phishing)
yöntemini kullanarak zararlı yazılımı banka sistemlerine bulaştırıyor. Burada
klasik oltalama yönteminden farklı olarak hedef odaklı oltalama seçiliyor.
Temelde aynı şey gibi dursa da hedefe özel hazırlanmış mail, doküman vs. gönderilmektedir. Mail yoluyla gönderilen zararlı yazılım Microsoft Office ve Microsoft Word’e
ait zafiyetleri istismar ederek sisteme bulaşıyor ve ortam izlemesi, veri
kaçırma ve uzaktan kontrol için kullanılacak Carbanak backdoor’unu sisteme yerleştiriyor.
Yazılım banka ağına bulaştıktan sonra keşif çalışmasına
başlıyor. Yerleştiği bilgisayar kullanıcısı hakkında gerçek zamanlı bilgi
topluyor. Yazılımın asıl hedefi bankacılık işlemlerine yetkisi olan admin bilgisayarlarına
sıçramak. Bunun için bulunduğu bilgisayardan çeşitli verileri, ekran
çıktılarını komuta kontrol merkezine göndererek bilgi aktarımında bulunuyor. Bu
şekilde paraya en yakın noktaya gelmeye çalışıyor. Şekil-2’de zararlı yazılımın
monitör edildiği ve yönetildiği bir ekran görünüyor. Bu ekran sayesinde
istedikleri komutları gönderebiliyorlar.
Şekil-2. Carbanak
zararlısı yönetim arayüzü
İstismar:
Bulaşma, yayılma ve keşif çalışmalarından sonra sıra paranın
nasıl kaçırılacağına geliyor. Burada çeşitli yöntemler kullanılıyor.
- Hesaplar üzerinde doğrudan değişiklik yaparak kendi hesaplarına para aktarımını sağlıyorlar. Örneğin Hesabında 1.000$ bulunan bir müşterinin hesabını 10.000$ yapıp 9.000$'ı sahte kimliklerle açtıkları hesaplarına transfer ediyorlar. Bu şekilde hesabında hala 1.000$ olan müşteri durumdan şüphelenmiyor.
- Diğer bir yöntem ise doğrudan parayla etkileşimin olduğu ATM'ler tercih ediliyor. Zararlı yazılım yayılma ve öğrenme aşamasında ATM'leri uzaktan yönetebilecek duruma geliyor. Uzaktan ATM'yi yöneterek ATM'nin istenilen zamanda para vermesi sağlanıyor. Bu şekilde doğrudan paraya ulaşılmış oluyor.
- Diğer bir para elde etme yöntemi olarak ta SWIFT networku kullanılıyor. Bu şekilde hesaplarına uluslararası para transferi yapabiliyorlar.
Raporda teknik detaylar anlatılıyor. Dileyenler oradan
okuyabilir. Ben burada aslında günlük olarak konuştuğumuz, sürekli önlemler almaya
çalıştığımız bir senaryonun aslında ustaca gerçekleşebileceğini anlatmaya
çalıştım.
Bu tür çok gelişmiş zararlılardan en az etkilenmek için Şekil-1’de
yer alan döngüyü Şekil-3'te ki gibi değiştirmemiz gerekiyor. Sistemin
zayıf noktasını kapatıp sistemi daha güvenli hale getirdikten sonra
saldırganlardan önce zayıf noktaları tespit edip tekrar önlem almamız gerekiyor. Bunun için çok büyük paralar harcadığımız cihazlar yerine zamanı
bol, motivasyonu yüksek çalışanların yer aldığı ekipler gerekmektedir.
Şekil-3. Güvenlik
Uzmanı Yaşam Döngüsü