Cumartesi, Aralık 21, 2024
More

    Wannacry saldırısından firmanızı koruyacak 3 temel önlem

    Netsparker firmasında güvenlik araştırmacısı olarak görev yapan Ömer Çıtak, bu yıl ikincisi düzenlenen LOCARD Küresel Siber Güvenlik Zirvesi’ndeki konuşmacılardan biriydi. “Dünyayı bir gün hacker’lar mı yönetecek” adlı bir sunum yapan Çıtak ile gündemin en taze konusu Wannacry saldırı hakkında kısa bir söyleşi yaptım.

    Çıtak, Türkiye’nin sayıları hızla artan kıdemli siber güvenlik uzmanlarından biri. Ülkemizin küresel savaş arenasında oldukça kritik bir yerde oturduğunu da göz önünde bulundurursak, Wannacry gibi saldırıları 7/24 takip ediyor ve etkilerini analiz ediyor. 12 Mayıs’ta patlak veren saldırının ardından yaşanan gelişmeleri değerlendiren ve akıllara getirdikleri soruları yanıtlayan Çıtak, Türkiye’de giderek artan fidye yazılım kurbanlarından biri olmamanız için ne yapmanız gerektiğini de not düşmeyi ihmal etmedi.

    Wannacry’ı bugüne dek etkili olan Cryptolocker gibi fidye yazılımlardan farklı kılan nedir? 

    Bugüne kadar yazılan hiçbir Cryptolocker herhangi bir Windows 0day zafiyetinden faydalanmıyordu. Wannacry’dan önceki Cryptolockerlar saldırgan tarafından genelde sosyal mühendislik saldırıları veya kolay seçilmiş RDC parolası yüzünden erişimi kolay olan sunucularda kullanılıyordu. Wannacry’ı yazan saldırganlar zekice MS17-010 0day zafiyetinden faydalandı. MS17-010’u özet geçecek olursak 139 veya 445. portları açık olan tüm Windows Vista, 7, 8, 10 ve XP’lere uzaktan erişim hakkı tanıyan bir zafiyet. Bu zafiyet neticesinde Wannacry öncesinde doğrudan internete erişimi olan makinelere bulaşıp, ardından bulaştığı makinelerin bağlı olduğu internal network üzerindeki makinelere de bulaşmaya devam ediyordu.

    Wannacry hakkında daha fazla teknik bilgi edinmek isteyen arkadaşlar bu blogpost’a göz atabilirler.

    Küresel alanda Wannacry’ın etkili olduğu bölgeler.

    Saldırının etkileri halen sürüyor mu? Türkiye’nin ne kadar etkilendiği hakkında istatistikler mevcut mu? 

    Evet, halen etkileri devam ediyor. Hatta öyle ki Wannacry’ın servisleri gelen taleplere cevap veremez hale geldi. [1] Tabii ki servislerin gelen taleplere cevap veremez hale gelmesinin tek sebebi hızla yayılması değil. Servislere yapılan bir DDoS saldırısı da mevcut.

    Yapılan araştırmalara göre Wannacry’dan etkilenen ilk 5 ülke arasında Türkiye yok. [2] Zaten Türkiye’de faydalandığımız gerek IoT cihazlar olsun gerek Windows kullanan diğer sunucularda olsun bir aksaklık yaşamamamız, Wannacry’dan çok da etkilenmediğimizin bir göstergesi.

    Wannacry saldırısının motivasyonu ne olarak beliriyor? Jeopolitik unsurlar ile ilgisi var mı?

    Bunun hakkında ne yazık ki yapılabilen somut bir yorum yok. Yani bu bir Stuxnet olmuş olsaydı, yazılımın seçtiği hedef net olmuş olduğundan çok daha somut yorumlar yapabilirdik. Ancak ne yazık ki elimizde net bir bilgi yok. Benim kişisel fikrim para kazanmak peşinde olan birkaç amatör sanal suçlu tarafından yazılan, onların da beklemediği şekilde hızlıca yayılan bir zararlı yazılım.

    Wannacry’ın küresel alanda yarattığı şok dalgası ile BTC değerindeki rekor artışın bağlantısı var mı?

    Olmaz olur mu 🙂 Hatta öyle ki bazı ülkelerde uzun süredir kapalı olan BitCoin borsaları Wannacry saldırısı ile beraber tekrar hizmet verir duruma geldi. Bazı ülkelerdeki BitCoin borsaları ise hemen “komisyon almıyoruz” şeklinde duyurulara başladı.

    Wannacry kilit ekranı.

    BTC ve Darknet’in fidye yazılım dünyası ile bağlantısı ne durumda?

    Fidye yazılımları son yıllarda kullanıcılara en çok zarar veren zararlı yazılımların başında gelmekte. Sebebi ise saldırgana daha kolay maddi kazanç getiriyor olması. Kurbanların çoğu cahillik, korku, danışacak birilerini bulamama gibi sebeplerden dolayı saldırgana ödeme yapmayı tercih ediyor. Bunun farkına varan ancak teknik yeterliliği olmayan saldırganlar ise Darknet üzerinden komisyon karşılığında bu işleri yapacak saldırganlara ulaşabiliyor. Bunların sonucunda ortada bir ödeme olacağından ve bu ödemenin takibinin yapılmaması istendiğinden doğal olarak kriptoparaların en popüleri BitCoin tercih ediliyor.

    Birçok kişi fidye yazılımları virüs sanıyor. Türkiye’de özellikle firmaların bilinçlenmesi için neler yapılmalı?

    Aslında kendi kendine internal network’te yayılma özelliğine sahip olduğundan aynı zamanda bir Worm(solucan). Dolayısı ile üçüncü kullanıcının bu farklı anlayamaması normal. Burada iş bizim gibi insanlara düşüyor. Bu röportajda da olduğu gibi her fırsatta doğrusunu aktarabilmek gerekiyor.

    Firmalar kesinlikle bu konularda cimri davranmayıp teknik elemanlarını olabildiğinde eğitime gönderebilmeliler. Gönderemiyorlar ise kurum içi eğitim şeklinde eğitimler almalıdırlar. Zira işi sadece sosyal medyadan okuyarak anlayabilmek mümkün değil. İşi bilen, bilmeyen, teknik yeterliliği olan, olmayan herkes sosyal mecralarda yazıp çiziyor. Yanlış içeriklere denk gelip bilinçlendiğinizi düşünmek resmen kendi topuğunuza sıkmak demek. O yüzden işin ehli kişilere danışmak en iyisi.

    Çİn’de 13 Mayıs günü yerel saatle 19.00’da beliren Wannacry yayılım haritası.

    Fidye yazılımlardan korunmak için aklımızda tutmamız gereken en temel bilgiler nedir?

    Wannacry’ın 0day kullanması gibi istisnai durumunu gözardı edersek, dikkat edilmesi gereken en önemli maddeler şunlar;

    1- Public erişimi olan cihazlarınızda kesinlikle parolayı default bırakmak veya basit parola seçmek gibi yanlışlar yapmayın. Olabildiğince zor ve karmaşık parolalar seçin.

    2- Muhakkak bir Network pentest yaptırın. Zira network yanlış yapılandırılmış ise internal sanılan cihazlar external olmuş olabilir.

    3- Gelen maillerdeki indirilen dosyalara dikkat edin. Hiçbir fatura size executable (çalıştırılabilir dosya) olarak gelmez. Bunu anlamak için bir Windows özelliği olan “Dosya Uzantılarını Göster” seçeneği açılmış olmalı. PDF dışında dosya uzantıları kesinlikle fatura değildir, PDF dışındaki formatlar indirilip açılmamalıdır. “Dosya Uzantılarını Göster” devre dışı olduğu durumlarda saldırgan “fatura.pdf.exe” adında bir dosya gönderebilir ve kurban bu dosyayı “fatura.pdf” olarak görüp yanılabilir.

    Bu üç maddeye ek olarak Wannacry’dan bir ders çıkarıp sistemleri güncel tutmak gerekiyor. Zira bir zafiyet keşfedildiğinde yazılım firmaları hemen yama yayınlarlar. Wannacry duyulur duyulmaz Microsoft hemen bir güvenlik yaması yayınladı ve cihazını güncelleyenler Wannacry’dan etkilenmekten kurtuldu.

    Ömer Çıtak.

    EN COK OKUNANLAR

    İlgili Makaleler