Doğukan KARADAĞ Siber Güvenlik Uzmanı
Şu an da oturduğunuz evin, dairenin bir arka kapısı var mı? Aslında kapıdan kastım, yalnızca fiziksel anlamda kilidi olan cisim değil. Belki pencerenizin kilidinde bir problem vardır ama siz henüz farkında değilsinizdir. Belki de farkındasınızdır ancak kapınızın kilidini kaybetme olasılığına karşın yaptırmıyorsunuzdur, bilemeyiz. Peki, siber dünyadaki arka kapı ne manaya geliyor? Örneklem açısından gerçek dünyadan pek de bir farkı olduğunu söylemek, doğru olmayacaktır.
Kötü niyetli kişiler sistem, ağ veya yazılımda tespit ettikleri açıklıkları kullanarak, sistem sahibinin/yetkililerin bilgisi haricinde erişim sağlamak için kullandıkları gizli noktalardır. Şimdi, gelin birlikte backdoor’un ne olduğunu ve ne amaçlar doğrultusunda kullanılabildiğini detaylıca ele alalım.
Backdoor Nedir?
‘Her zaman bir açık kapı vardır.’ Gerçekten durum böyle midir? %100 güvenli bir sistem var mıdır? Eğer işin içinde insan faktörü varsa, %100 güvenlikten bahsetmek mümkün olmayacaktır. Tabii bu parametrelere yalnızca insanı eklemek de doğru değildir ancak zafiyetlerin büyük bir kısmı buradan oluşmaktadır. Keza “zero day attack” olarak isimlendirilen açıklıklar da kullanılmaktadır. Bunların önüne geçmek için güncellemeler ve bilinçlendirme eğitimleri büyük bir önem arz etmektedir.
Arka kapılar, gizli erişimin sağlanması için bilerek veya bilmeyerek oluşturulan erişim noktalarıdır. Evet, kimi zaman bilerek bacdoor oluşturulmaktadır. Nedeni ise, sistem içerisinde oluşabilecek kritik durumlarda(veri kaybı, sisteme erişimin fiziksel veya yazılımsal koşullar nedeni ile kopması gibi) yetkili kişiler tarafından felaket yönetiminde kullanılabilmektedir. Ancak bunun bu şekilde kullanılması, siber güvenlik bakışı özelinde önerilmemektedir. Takdir edersiniz ki, siber suçlular tarafından keşfedilen bu açıklık, kötü emeller doğrultusunda sömürülebilmektedir.
Backdoor Türleri Nelerdir?
Öncelikle sizlere bir soru sormak istiyorum. Backdoor, bir saldırı türü mü yoksa değil mi? Yanıtınız, ‘evet, saldırı türü’ ise ne yazık ki cevabınız yanlış olacaktır. Arka kapılar, bir saldırı metodu değil sistemin kendi yapısında bulunan açıklıklardır. Yine gerçek hayattan bir örnek ile bunu somutlaştıralım. Örneğin, arabanızın kapılarından biri kilitlenmiyor. Bunun farkındasınız ancak sitenizin otoparkı güvenli olduğu için herhangi bir aksiyon alma gereği duymuyorsunuz. Ta ki bir gün site güvenliğini sosyal mühendislik ile manipüle edip arabanızın içine takip cihazı koyan kötü niyetli bir kişi gelene değin. Bunu ne zaman fark edebilirsiniz? Kim bilir…
Dijital dünyada da işler benzer durumdadır. İlerleyen satırlarda, yaklaşık 1 yıl boyunca ABD hükümetinin verilerinin izlenildiği ve çok sonradan fark edildiği bir olayın örneğini okuyacaksınız. Düşünebiliyor musunuz?
Yazılım Arka Kapıları
Kullandığınız yazılım ne kadar güvenli? En basitinden bir fotoğraf düzenleme uygulaması kullandığınızı varsayalım. Bu yazılımın backdoor’u sömürülerek verilerinizin ve bilgisayarınızın kontrolünü kaybetme olasılığının olması her zaman ihtimaller dahilindedir. Hele ki crackli bir yazılım kullanıyorsanız, çok yüksek olasılıkla cihazınızın botnet ağına katılmış olabilir.
Donanım Arka Kapıları
Tahmin edebileceğiniz gibi genellikle cihazların üretim aşamasındaki bir eksiklikten veya o zaman dilimi içerisindeki varsayılamayan güvenlik nedenlerinden dolayı oluşan backdoorlardır. Son kullanıcılar tarafından görünmesi pek de muhtemel değildir. Ancak alanında uzman kötü niyetli bir kişi cihazınıza erişimi olursa bu açıklığı kullanmaktan kaçınmayacaktır. Tabii genellikle donanım tarafındaki arka kapıların sömürülmesi siber suçlular tarafından tercih edilmez. Çünkü kimliğinin ortaya çıkması çok daha yüksek olasılıktadır.
Zararlı Yazılım Arka Kapıları
Kullandığınız sistem veya yazılımda bir backdoor olmayabilir. Peki, bu hiç olmayacağı anlamına mı geliyor? Tabii ki hayır. Eğer internet üzerinden bir phishinge maruz kalıp zararlı bir dosya veya linke tıkladıysanız, cihazınıza istemeden de olsa arka kapı açmış olabilirsiniz. Özellikle keylogger gibi yazılımlar ile verilerinizin kötü niyetli kişilere geçmesi işten bile değildir.
Backdoor’dan Korunma Yöntemleri Nelerdir?
Eğer açık bir kapınız varsa ve bunun farkında değilseniz, muhtemelen bilgilerinizin çalındığının veya izlenildiğinizin de farkında değilsinizdir. Dolayısıyla bunun önüne geçmek için bazı güvenliğinizi arttıracak çözümleri uygulamanızda fayda var. Hadi gelin, bunları birlikte inceleyelim.
Yazılım Güncellemeleri
Alıştığımız bir sistemi, kolayca değiştirmek istemeyiz. Ne de olsa stabil olarak işlerimizi tamamlayabiliyoruz. Hatta kullanım kolaylığı olarak da artık refleks haline getirdiğimiz bir sistem mevcut. Yeni gelen güncelleme ile hiç rahatımı bozmak istemem… Böyle diyenlerdenseniz, bu bakış açımızı, “siber güvenlik bakış açısı” ile değiştirmenizde gerçek anlamda büyük bir avantaj olacaktır. Geçici bir süreliğine alışma periyodu mu yoksa kişisel ve şirket verilerimizin ele geçirilmesi mi? Dolayısıyla kullandığımız yazılım ve sistemlerin güncellemelerini takip etmeli ve yapmalıyız. Diğer içeriklerimi takip eden okurlarım bilir ki, her zaman güncellemelerin öneminden dem vururum. Çünkü her yeni gelen güncelleme ile bir önceki sürümün güvenlik zafiyetleri kapatılmış olabilir. Bunun detayları da zaten güncellemenin açıklamalarında bulunur.
Bu detaylar, kötü niyetli kişilere aynı zamanda fikir de vermiş olur. Örneğin, benim “DoğukanSiber” isminde bir yazılımım var. Bunu kullanan 10.000 kullanıcım olsun. 1.0 versiyonunda tespit edilen SQL Injection zafiyetini gidermek için v.1.1 sürümünü kullanıcılarıma sundum. Bu sürümün detaylarında ise şöyle bir açıklama olacak; “v.1.0’da tespit edilen SQL Injection zafiyeti giderilmiştir.” Bu açıklamayı yapmak zorundayım, çünkü ben bir hizmet sağlayıcısıysam regülasyonlar gereği bunu belirtmem gerekmektedir. Diğer yazılım ve sistemlerde de benzer hususlar söz konusudur. Bundan dolayı güncellemeleri yakından takip ediniz ve yapınız.
Antivirüs – Anti Malware Kullanımı
Cihazınıza bilerek veya bilmeyerek indirdiğiniz zararlı bir dosya… Bu dosyayı çalıştırmadan tespit edebilen ve çalışmasını engelleyen bir çözüm olsa nasıl olurdu? Düşünmemize hiç gerek yok, çünkü halihazırda zaten var. Hem bireysel hem kurumsal alanlarda antivirüs kullanmak önem teşkil etmektedir.
Firewall Kullanımı
Ağ trafiğinizin kontrol altında olması ve yalnızca sizin belirlediğiniz kurallar doğrultusunda çalışması, güvenlik sıkılaştırması için vazgeçilmez bir gerekliliktir. Böylece anormal trafiklerin tarafınıza ulaşmasını engelleyebilir ve topolojinizin varsa arka kapılarının kullanılmasının önüne geçebilirsiniz.
Şifre Güvenliği
Her platformda kullandığınız parolalarınız aynı mı? Eğer cevabınız ‘evet’ ise bu yöntemden acilen vazgeçmelisiniz. Ayrıca Fenerbahçeli iseniz ve şifrenizde 1907 gibi ifadeler bulunuyorsa bundan da vazgeçmeniz gerekmektedir. Şifrelerinizi minimum 8 karakter olacak şekilde, en az bir büyük, bir özel ve bir rakamdan oluşmasına hassasiyet gösterin. Yine parolanız içerisinde şehrinizin, sevdiklerinizin veya özel tarihlerin kullanımından kaçının. Bu sayede kötü niyetli kişilerin sizin tarafınıza erişmesine harcayacakları çabayı maksimize edebilirsiniz.
Kod Denetimleri
Bir uygulama veya yazılım kullanılabilirliğe sürülmeden önce muhakkak ve muhakkak güvenlik testlerinden geçmeli, kod denetimleri yapılmalıdır. Ancak ne yazık ki, günümüzde hatta dünya genelinde bu durum göz ardı edilebilmektedir. Çünkü yazılım geliştiriciler, genel olarak sistemlerinin performanslı ve kullanıcı deneyimine uygun olarak tasarlanması için çalışırlar. Fakat güvenlik çerçevesinde oluşturulmayan her yazılım/uygulama ne yazık ki ileride birçok zafiyete sebep olabilmektedir. Ki zaten güvenlik ürünlerinin temelindeki mantık, yazılımlarda bulunan zafiyetleri veya oluşabilecek zafiyetleri korumak içindir.
Erişim Kontrolleri
Özellikle kurumsal şirketlerde, erişim kontrollerinin çok büyük bir önemi vardır. Muhasebe departmanı yalnızca muhasebe uygulamalarına, pazarlama ekibi yalnızca işi ile alakalı alanlara erişimi gibi. Bu neden mi önemli? Örneğin, mavi yakalı bir çalışanın internette gezinirken yanlışlıkla bir linke tıklaması sonucu bilgisayarına bulaşan bir virüs olduğunu düşünelim. Eğer erişim kontrolleri yapılmamış bir şirket ise bu çalışanın bilgisayarından tüm şirket çalışanlarının bilgisayarlarına virüsün yayılması çok muhtemeldir. Haliyle bu başlığı da dikkatlice organize etmekte fayda vardır. Erişim kontrolü için kullanılan siber güvenlik çözümlerinden biri de CyberArk’tır. Detaylarını ilgili içeriğimde keşfedebilirsiniz.
Siber Güvenlik Testleri
Şirketlerin güvenliğini test etmesi ve varsa açıklıkların kapatılması için her yıl düzenli periyotlarla sızma testi yaptırmaları zorunludur. Bu testler sonucunda tespit edilen zafiyetler ilgili kurum personellerince kapatılması için aksiyon alınır ve ISO27001 gibi denetimlerde bu testlerin yapılıp yapılmadığı sorgulanır.
Örnek Backdoor Olayları
Arka kapı olayları her zaman büyük bir ehemmiyet taşımaktadır. Burada tekrar hatırlatmak isterim ki, arka kapılar bir saldırı yöntemi değil, saldırıyı gerçekleştirmek için bulunan açıklıklardır. Zafiyete sebebiyet verebilecek her türlü güvenlik önlemini iyi bir şekilde analiz etmeli ve kötü niyetlilerin sömürebileceği aralıkları kapatmak gerekmektedir. Öyleyse hadi gelin tarihe damga vurmuş bu olayları birlikte inceleyelim.
Solarwinds Zafiyeti
En büyük tedarik zinciri saldırılarından biridir desem, yanlış olmayacaktır. Öyle ki, bu zafiyetten etkilenen çok büyük teknoloji şirketi, ABD hükümetine bağlı olan birçok ajans ve şirket olmuştur. Düşünebiliyor musunuz? Peki, hangi tarihte bu yaşandı dersiniz? Çok da uzağa gitmemek gerek, 2020 yılında…
Peki, bu açıklık nasıl oluştu? Kötü niyetli kişiler, SolarWinds Orion yazılımının güncelleme süreci içerisine yerleştirdikleri backdoor sayesinde.
Stuxnet
Nükleer savaş mı, siber savaş mı? Bu soruda tercih yapmak çok da hümanist bir davranış olmayacaktır, değil mi?
Stuxnet, İran’ın nükleer tesisindeki santrifüjlerin(bkz:santrifüj nedir) işlevini bozmak için tasarlanmıştır. Sistemlere usb’ler aracılığıyla bulaşıp, Siemens’in SCADA sistemlerindeki santrifüjlerin hızlarını manipüle etmektedir. Finalde, bu arka kapının sömürülmesi ile İran’ın nükleer çalışmaları sekteye uğratılmıştır. Tarihi merak edenler için, 2010 yılında gerçekleştiğini belirteyim.
Juniper Networks
Şirketinizde veya daha öncesinde herhangi bir Juniper Networks ürünü kullandınız mı? 2015 yılında, bu devasa markanın 2 farklı arka kapısı tespit edilmiştir. Buna göre bir arka kapı vpn bağlantılarını deşifre edebilmekteydi. Yani siz güvenli bir bağlantı ile kurumunuzun ağına vpn yapıp çalışmalarınızı gerçekleştirdiğinizi düşünürken, aslında tüm veri akışınız apaçık 3. kişilerce görüntülenebiliyor. Ürpetici geliyor, değil mi? İkinci bir arka kapı ise yönetici rolünde yetkisiz erişime olanak tanımaktaydı. Bu daha da kötü…
Sizin deneyimlediğiniz veya yakın çevrenizden duyduğunuz bir backdoor olayı var mı? Konu ile ilgili görüşlerinizi aşağıda yorumlar kısmından belirtebilirsiniz. Bir sonraki içeriğimde görüşmek üzere. Sağlıkla ve güvenle kalın.
