En son ne zaman yazıcınıza
ya da VoIP telefonunuza bellenim güncellemesi kurdunuz? Çoğu
kullanıcılar bu aygıtlar için yazılım güncellemesi olduğunu bile
bilmiyor. ABD’li güvenlik araştırmacılarının RSA Konferansı’nda Şubat
2014’te gösterdiği gibi, hacker’lar bu bilgisizlikten faydalanabiliyor.
Columbia Üniversitesi’nde doktora adayı olan güvenlik uzmanı Ang Cui’nin
ekibi, projelerinde ağ yazıcılarını sistemlere uzaktan giriş amaçlı
kullanmanın ne kadar kolay yapıldığını gösterdi. Beyaz Şapkalı
Hacker’lar kurgusal bir şirketin tüm ağ yapısını öğrendikleri gibi,
ofiste geçen konuşmaları da kaydettiler. Üstelik tek bir PC’ye ve akıllı
telefona zararlı kod bulaştırmadan.
Gösterilen olay düpedüz film gibi. Bir hacker ilk olarak HP Laser Jet
2055 modeli ağ yazıcısını ele geçiriyor. PDF belgesi olarak gizlenmiş
zararlı kodu şirketin bir çalışanına e-posta ile yolluyor. Zararlıyı,
her gün gelen kutularında virüs bulan kullanıcılara da gönderebilirdi.
Bu PDF, iş başvurusu yapan birinin masum özgeçmişinden daha fazlası.
Doğrudan yazıcıyı hedef alıyor ve yazıcı komutları yerine getirirse
makinenin işletim sistemini ele geçiriyor. Bu tür saldırılar bir iki
yıldır biliniyor. Ang Cui’ye göre çok az kullanıcı ya da şirket
yazılımlarının bellenimlerini güncelliyor. Dolayısıyla da, üreticiler
sürekli güncellemeyi tavsiye etse de piyasada hacker’ların saldırılarına
karşı korumasız sayamayacağımız kadar aygıt var.
7) Yazıcılar
Zararlı kod etkinleşince bir kontrol sunucusuna şifreli bir tünel
açıp oradan gelecek emirleri beklemeye başlıyor. Yazıcının eksiksiz bir
işletim sistemi bulunduğundan, hacker tüm şirket için ağı tarayıp
sonuçları tünelden kendine yolluyor.
Ağda belleniminde açıklar bulunan bir VoIP telefonu varsa saldırgan
bunlara da zararlı kod bulaştırıp uzaktan dizginleri eline alıyor. Tek
bir düğmeyle telefon bir dinleme aygıtına dönüşerek sadece telefon
konuşmalarını değil odadaki tüm konuşmaları kaydetmeye başlıyor. Bu
kayıtlar da yine tünel aracılığıyla saldırgana iletiliyor.
Cui’nin açıkladığı gibi, zararlı kod bulaştırılmış yazıcı bellenimi
daha sonraki güncellemelerden zarar görmüyor ve aygıttaki zararlı kod
böylece kalıcı hal alıyor. Bellenimde güncellemelerin yüklenmesini
kontrol eden program kodu da saldırgan tarafından değiştirildiğinden,
yazılımın zararlı kodunun sabit kalması ve güncellemeden etkilenmemesi
sağlanabiliyor.
6) DSL Yönlendiriciler
Cymru ekibinin güvenlik uzmanları Avrupalı internet kullanıcılarına
yönelik tam ölçekli bir saldırıyı analiz ederek PC dışı donanımların ne
kadar çok risk altında olduğunu gösterdi.
Araştırmacıların Mayıs başında
keşfettiği gibi, kötü niyetli hacler’lar aralarında Asus, D-Link,
Cisco, Linksys, Netgear ve TP-Link’in de bulunduğu farklı markalardan
300.000 fazla yönlendiriciyi uzaktan etkisiz hale getirdiler.
Hiçbir zararlı kod bulaştırmadan DNS ayarlarını yönlendiricilerin
işletim sistemlerindeki farklı açıkları kullanarak değiştirdiler.
5) ATM
Symantec virüs uzmanları da ATM’lere kurulan Ploutus adında bir Truva
atı keşfetti. Zararlı yazılımın ilk sürümü etkinleştiğinde ATM’nin tuş
takımından 16 haneli bir kod girilmesi bekleniyor, doğru kod girilince
de nakit para bölmelerinden birinin içeriğini tamamen boşaltıyor.
Bunun avantajı, soygunu tasarlayanların makineleri boşaltmak için
artık suç ortaklarıyla bu karakter dizisini paylaşmak zorunda kalmaması.
ATM’lere fiziksel erişim gerektiren enfeksiyon işleminde bir açılış
CD’sinin yanı sıra saldırganlar ATM’ye bir de akıllı telefon gizliyor.
USB ile makinedeki Windows PC’ye bağlanan akıllı telefon,
bilgisayarla iletişim kuruyor ve şarj oluyor. Eğer uygun türden bir SMS
alırsa USB üzerinden bilgisayara bir veri paketi gönderiyor.
Bilgisayarda tam da bu veri paketini bekleyen Ploutus komutu okuyor,
işliyor ve parayı saldırganlara teslim ediyor.
4) ZeuS
ZeuS kullanıcı bilgilerini ele geçirmede uzmanlaşmış bir zararlı kod.
Tüm bankacılık Truva atlarının atası olan ZeuS dijital dünyada ve her
yerden milyonlarca enfekte PC’de farklı türleriyle boy gösteriyor.
ZeuS ve benzerlerinin özelliği, yasal web sitelerine doldurulması
için ek alanlar eklemesi. Zararlı, kurbanın PC’sindeki tarayıcıyı
manipüle ederek örneğin internet bankacılığı sayfasının birer kopyasını
yerleştiriyor. Kullanıcıdan da elbette güvenlik için cep telefonu
numarasını girmesi isteniyor.
Anti virüs üreticileri bu zararlının artık
yeni bir sürümünün ortaya çıktığını, bunun sadece bankacılık sitelerini
değil, Monster.com ya da CareerBuilder gibi çevrimiçi kariyer
portallarını da manipüle ettiğini söylüyor.
Burada bir dizi güvenlik
sorusu soruluyor ve içlerinde kurbanın başka çevrimiçi hesaplarına
ulaşmak için kullanılabilen “Çalıştığınız ilk iş hangi şehirdeydi” ya da
“Gittiğiniz ilk konser” gibi sorular da bulunuyor. Ardından bu
ayrıntıların yardımıyla kurbanın internet hesaplarına giriliyor.
3) Dizüstü Bilgisayarlar
Zorla para almak için çok farklı yöntemlere başvuran hacker
saldırıları da var. RSA Konferansı’ndaki konuşmaları sırasında güvenlik
uzmanları modifiye bellenimle bir Apple MacBook Pro’yu fiziksel olarak
yok ettiler.
Aygıtı bellenim güncellemesiyle artık düzeltmek mümkün
değildi. Tek çözüm pahalı ve zaman alıcı biçimde anakartı değiştirmekti. Tanıtım bittiğinde MacBook Pro artık pahalı bir kâğıt ağırlığından
ibaretti.
Pili şarj olmuyor, SMC sıfırlaması ya da güç düğmesine
basmanın yararı bulunmuyordu. CrowdStrike güvenlik firmasının CTO’su
Dmitri Alperovitch, güncellemenin SMC bellenimini yok ettiğini açıkladı.
Bunun için orijinal bir Apple belleniminden yararlandıklarını
söylemekle yetindiler çünkü suçlulara örnek olmak istemiyorlardı.
Fakat araştırmacılar bu yöntemin ilke itibariyle her türlü modern
donanımda etkili olacağından korkuyor. ACPI EC (gömülü denetçi)
bellenimini hedef alan bir saldırı tüm Windows’lu makineleri devre dışı
bırakabilir. Pratikte hacker’lar böylece herhangi bir Windows
bilgisayarına zararlı kod bulaştırıp çalışmaz hale getirebilirler.
2) Hacker’lar Uyuşturucu Kaçakçılarının Ekmeğine Yağ Sürüyor
Kötü niyetli hacker’ların uzmanlıklarını organize suçu desteklemek
için sunduğu, Kaspersky’nin örgütlediği Güvenlik Analizcileri
Zirvesi’nde Hollanda polisi tarafından kanıtlandı. Suç mahalli
Avrupa’nın en büyük ikinci limanıydı. Antwerp’te bir limandan 2013
yılında 8.5 milyon ton mal çalınmıştı. Polis bunların en azından bir
tonunu kurtardı. Ele geçirilen şey Güney Amerika’dan gelen uyuşturucuydu
ve nakliye firmalarının, yüklerine yapılan bu ekten hiç haberi yoktu.
Ele geçirilen kokain 150 milyon avrodan fazla ediyordu. Suçlular, mal
sahipleri daha konteynırı götürmeden bir gizli operasyon düzenleyip
uyuşturucuyu alacaklardı. Konteynırların yerini ise depolama alanlarını
kontrol eden nakliye firmalarının kullandığı PC’leri enfekte ederek
öğrenmişlerdi. Suçlular, bu enfeksiyonlar ortaya çıkınca işi bir adım
ileriye götürdüler.
Hollanda polisinden Peter Zinn’e göre uyuşturucu
kaçakçıları dijital yer altı dünyasından Belçikalı hacker’ları
kiralamışlardı. Zinn’in konuşmasında anlattığı gibi bu hacker’lar
limandaki otomatik yükleme vincinin kontrol sistemini manipüle edecek
kadar bilgiliydiler.
Böylece uyuşturucu içerek konteynırlar yetkililerin kontrol noktasına
değil, doğruda bekleyen bir tıra yüklenmişti. Her şeyden habersiz olan
tır şoförü, yola çıktıktan sonra Kalaşnikof atışlarıyla durduruldu ve
uyuşturucu, araçtan indirildi. Bu sefer vinç kontrolleri enfekte
PC’lerle manipüle edilmemiş, soyguncular tarafından nakliyecilerin
ofisindeki çoklu prizlerin içine yerleştirilen mini bilgisayarlar
kullanılmıştı.
1) Sanal Saldırılar
SCADA sistemlerine yapılan saldırılar nice zamandır felaket
senaryolarının olmazsa olmazı. Elektrik kesintileri, patlayan kimyasal
tesisler, açılan baraj kapaklarıyla sular altında kalan vadiler vb. Tüm
bu vakalarda SCADA donanım ve yazılımıyla kontrol edilen sistemleri ele
geçirmek yeterli, diyor uzmanlar.
Anti virüs üreticisi Kaspersky’nin
başkanı Eugene Kaspersky bunun çok ciddi bir tehdit olduğunu dile
getiriyor: “Teröristlerin daha şimdiden istekli saldırganlarla işbirliği
yapıp kritik alt yapıları hedef aldığını tahmin ediyorum.” diyor.
Dahası da var: “Kritik alt yapılar şu anda çok savunmasız.
Alt
yapılardan sorumlu mühendisler, saldırganların ne kadar yenilikçi ve
yaratıcı olduğunun farkında değil. Onlarca yıldır kontrol listelerini
hack’leyip sistemlerin güvenli olduğunu söylüyorlar.”
