Siber savaşta internet altyapısına saldırarak hizmetleri geçici süre durdurmak ve böylece hasmı ekonomik zarara uğratmak ya da dünyayla iletişimini kesmek mümkündür. İnternete bağlı bilgisayarların yazılım açıklarından faydalanarak veya kullanıcılara tuzaklar kurarak bilgisayardan veri de çalınabiliri. Peki, siber savaşın sınırları nedir? Karşı tarafa yıkıcı zararlar vermek mümkün müdür? Siber saldırı ile bir su arıtma tesisine zarar verilebilir mi? Bir şehir elektriksiz bırakılabilir mi? Nükleer santral sabote edilebilir mi? Tüm bu soruların yanıtı “evet”tir.
Bilişim teknolojileri tarihi, bilişim dünyasının önde gelen isimlerinin yanlış hatta bugün bize gülünç gelen kehanetleriyle doludur. 1945’de IBM’in yönetim kurulu başkanı Thomas Watson, birkaç büyük bilgisayardan oluşan bir dünya pazarı öngörmektedir. 1977’de Digital Equipment şirketinin (DEC) kurucusu Ken Olsen, insanların kendi evlerinde bilgisayar bulundurmaları için bir nedenleri olmadığını söyler. Ethernet’in mucidi, 3Com şirketinin kurucusu Robert Metcalfe ise 1995 yılındaki bir yazısında İnternet’in 1996’da çökeceğini iddia eder ve 1999’da 6. Uluslararası WWW Konferansı’nda yaptığı konuşmada yazdığı makaleyi karıştırıcıdan (blender) geçirip yer. (1)
Siber savaş hakkında yapılan tahminler de tutmaz. 2000’li yılların başında birçok uzmana göre siber savaş ciddi bir tehdit değildir. Stratejik ve Uluslararası Çalışmalar Merkezi’nden (Center of Strategic and International Studies) James Lewis (2002) siber silahları küçümser ve “kitle taciz silahları” olarak görür. Güvenlik uzmanı Marcus Ranum (2004) da yaptığı sunumda siber savaş hakkında yazılanların abartılı olduğunu ve gerçeği yansıtmadığını savunur.
Fakat söz konusu olan bilişim teknolojileri ise geleceğe dair bir tahminde bulunmadan önce tekrar tekrar düşünmek gerekir. Son yıllardaki siber saldırılar, siber savaşın ciddiyetini ve potansiyelini gözler önüne sermektedir. ABD’nin eski Başkanı George W. Bush’un da danışmanlığını yapmış olan Richard Clarke’a göre siber savaş, “bir devletin, başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirdiği sızma faaliyetleridir”. Clarke’a göre küresel düzeyde bir siber savaş başlamıştır. Ülkeler şu an bile birbirlerinin sistemlerine saldırmakta ve gelecekteki çatışmalar için hazırlık yapmaktadır (s.5-6 Clarke’dan aktaran Çifçi, 2013).
Ancak siber savaşı ulus devletler ile sınırlandırmak eksik bir yaklaşım olacaktır. İnterneti ustalıkla kullanan Hamas ve Hizbullah gibi geleneksel örgütlerin yanı sıra Anonymous ve LulzSec gibi yeni örgütlenmeler de siber savaşa dahildir. Shakarian, Shakarian ve Ruef (2013), Clausewitz’in “savaş politikanın başka araçlarla devamından başka bir şey değildir” sözünden yola çıkarak siber savaşın da politikanın devletlerce ya da devlet dışı aktörlerce siber alanda devam ettirilmesi olduğunu belirtir.
Bu yazıda, tarihteki çeşitli siber savaş vakalarına yer verilecektir. Siber savaşı Shakarian vd. (2013) gibi, politikanın siber alandaki devamı olarak ele aldığımızda siber saldırılar ve casusluk faaliyetleri daha anlamlı olacaktır. Aşağıdaki örneklerde siber saldırılar ve casusluk faaliyetleri teknik boyutlarıyla tartışılmakta, bu doğrultuda, özellikle hangi zaaflardan faydalanıldığı, nasıl gerçekleştirildiği ve sonuçlarının ne olduğu sorularına yanıt aranmaktadır.
DDoS saldırıları ve Estonya
Gelişmiş internet alt yapısı ve internet üzerinden sunulan kamu hizmetlerinin yaygınlığı ile Estonya siber savaşın ilk kurbanı oldu. Estonya’nın bilişim altyapısına bağımlılığı Estonya’ya yapılan siber saldırıların etkisini de artırdı. Aynı saldırı bilgisayar ve internet kullanımının düşük olduğu bir ülkeye yapılmış olsaydı saldırının başarı şansı oldukça düşük olacaktı.
27 Nisan 2007 tarihinde, Estonya hükümetinin Sovyetler’in Estonya’yı Nazi işgalinden kurtarmasını simgeleyen Kızıl Ordu Anıtı’nı kaldırma kararı Estonya’daki Rusların tepkisini çekti. Ruslar sokağa döküldüler; göstericilerle polisler arasında çatışmalar çıktı. Hikâyenin bu kısmı oldukça sıradan. Hikâyenin sıra dışı kısmı ise yine aynı tarihte bir internet formuna atılan mesajla başladı. Mesajda, Estonya hükümetinin sistemlerine yapılacak DDoS (Distributed Denial of Service – Dağıtık Hizmet Engelleme) saldırılarına katılabilmek için gerekli adımlar anlatılmaktaydı.
Bilişim teknolojilerinin gündelik hayatta oldukça yoğun kullanıldığı Estonya’da, bilişim sistemlerindeki herhangi bir aksama gündelik hayatı da aksatacaktı. Dolayısıyla tam da bunu hedefleyen DoS ( Denial of Service – Hizmet Engelleme) saldırıları için son derece elverişli bir ortam söz konusuydu. Eğer bir internet servisine (e-posta, dosya, web vb) servisin yanıt veremeyeceği kadar yoğun bir talep gelirse servisin çalışması kesintiye uğrar. Örneğin bir kişi, bir lokantayı sürekli telefonla arayıp ve telefondaki konuşmayı mümkün olduğunca uzatarak lokantanın alacağı siparişleri azaltabilir hatta tamamen engelleyebilir. Buna DoS, yani hizmetin engellenmesi denir. Fakat tek bir noktadan yapılan saldırı servisin teknik kapasitesi karşısında yetersiz kalabilir. Ayrıca tek bir noktadan art arda gelen taleplerin servisi fazlasıyla meşgul ettiği tespit edilirse bu noktadan gelen talepler kesilerek servisin gereksiz meşguliyetinin önüne geçilebilir. DDoS, dağıtık hizmet engelleme, saldırılarında ise saldırı çok sayıda kaynaktan tek bir hedefe doğru yapılır. Çok sayıda kaynaktan yapılan saldırının kaynak tespiti daha zor ve gücü daha fazla olacağı için engellenmesi de zordur.
Sıradan bir bilgisayar kullanıcısı bile hazır programlarla bir DDoS saldırısına destek verebilir. Estonya’ya yapılan saldırıda olduğu gibi birçok Anonymous saldırısında da DDoS için hazırlanmış programlar kullanılmıştır. Saldırılan servis artık yanıt vermediğinde saldırı başarıya ulaşmış demektir.
DDoS saldırılarına kitlesel katılım eylemin toplumsal kabulü için önemlidir. Ama teknik açıdan değerlendirildiğinde DDoS saldırılarında daha önce ele geçirilmiş bilgisayarları kontrol eden botnetler daha belirleyici bir rol oynamaktadır. Botnet, robot ve network (ağ) kelimelerinden oluşur. Saldırganlar, önce çeşitli tuzaklarla ve işletim sisteminin açıklarından faydalanarak bilgisayarları ele geçirirler. En kolay hedef, korsan olduğu için güncellemeleri yapılmayan yazılımlar ve virüs programı olmayan Windows işletim sistemli bilgisayarlardır. Daha sonra ele geçirilen bu bilgisayarlara komutlar gönderilerek bilgisayarların DDoS saldırılarına katılması, hedefteki kullanıcıların posta kutularını spam ile (istenmeyen postalarla) doldurması, başka bilgisayarların şifrelerini kırmak için denemeler yapması sağlanabilir. Botnet ticareti bile vardır ve kiralık bilgisayarları farklı amaçlar için kiralamak mümkündür.
Tekrar Estonya’ya dönersek…
29 Nisan 2007’de sokak gösterileri diner ama eylemler bu sefer internette yoğunlaşır. Estonya’nın bilişim altyapısı saldırı altındadır. Hem aktivistlerin hem de botnetlerin katılımıyla gerçekleşen DDoS saldırılarıyla Estonya bilişim sistemleri felce uğratılır. Parlamentonun posta sunucuları spam saldırısı nedeniyle 12 saat hizmet veremez ve iletişimin aksamasından dolayı olaylara müdahalede geç kalınır.
Estonyalı güvenlik uzmanları DDoS saldırılarının ülke dışından geldiğinden hareketle Estonya’daki servislere Estonya dışından erişimi keser. Saldırılar birkaç hafta sonra kendi kendine diner.
Siber savaşın bir tarafı Kızıl Ordu Anıtı’nı kaldıran Estonya’dır. Peki ya diğer tarafı? Rusya?
Saldırıyı örgütleyen milli duyguları incinmiş Ruslar mıdır? Rus hükümeti bu saldırının neresindedir? Birçok siber savaş vakasında olduğu gibi bu sorulara da delillerden yola çıkarak yanıt veremeyiz. Bir sokak gösterisine katılanlar bellidir. Füzenin hangi ülkenin sınırlarından ateşlendiğini biliriz. Ancak siber savaşta saldırının gerçek kaynağını bulmak zordur. Saldırıya uğramış birinin soracağı üç temel soru vardır (Shakarian vd., 2013):
1) Saldırı hangi bilgisayardan gerçekleşti?
2) Saldırıda kullanılan yazılım, kim tarafından, nasıl ve ne zaman geliştirilmiş?
3) Saldırıda kullanılan yazılımın amacı nedir?
İnternete bağlanan her bilgisayara bir IP adresi atanır. İnternette tbaşlangıç ve tbitiş zaman aralığında aynı IP adresine sahip başka bir bilgisayar bulunamaz. Fakat sadece acemi bir saldırgan doğrudan kendi bilgisayarını kullanarak saldırır. DDoS için hazırlanmış programların kullanımı kolaydır. Asıl sorun iz bırakmadan saldırabilmektir. Belki başka (müttefik olmayan) bir ülkeye saldırırken kullanılan DDoS programına göz yumulabilir. Fakat ülke içindeki sunuculara yönelik bir DDoS eylemine katılırsanız tespit edilip kovuşturmaya uğramanız an meselesidir. Anonymous’un ülke içindeki eylemlerine IP adreslerini gizlemeden katılan eylemciler bu acı tecrübeyi tatmıştır. Bu nedenle çoğu DDoS saldırısı ele geçirilmiş başka bir bilgisayarlar üzerinden, botnetler ile gerçekleştirilir. Dolayısıyla saldırıya uğrayan, kendisine saldıran bilgisayarın IP adresine erişse bile asıl saldırgana erişemeyecektir.
Saldırıda kullanılan yazılımı inceleyen bir analist, yazılımın derlendiği (programlama diliyle yazılmış bir koddan bilgisayarın anlayacağı biçime çevrilmesi) bilgisayarın dilini (Türkçe, İngilizce, Çince vb.), derleme işleminin ne zaman gerçekleştiğini, kodun yapısını incelemek isteyecektir. Yazılımı geliştirenler kimi zaman istemeden yazılımda iz bırakabilir. Fakat saldırgan, analisti aldatacak ve yanlış değerlendirmelere yöneltecek izler de bırakmış olabilir.
Saldırıda kullanılan yazılımın asıl amacını tespit ederken de saldırgan bıraktığı izlerle analisti farklı bir sonuca yönlendirebilir. Böylece asıl amacını saklayabilir. Dolayısıyla, eldeki delillere dayanarak herhangi bir saldırının yüzde 100 X devleti tarafından gerçekleştirildiğini söylemek olanaksızdır.
Web sayfalarının içeriğinin değiştirilmesi
2008 yılının Ağustos ayında Rusya ve Gürcistan arasındaki savaş, siber savaşın klasik savaşla nasıl koordineli bir biçimde yürütülebileceğini göstermektedir. Gürcistan da Estonya gibi yoğun DDoS saldırılarına maruz kalır. Gürcistan’ın internet altyapısı ve ülkedeki e-devlet hizmetleri, Estonya ile karşılaştırıldığında çok zayıftır. Ama bu sefer amaç hizmetleri meşgul ederek kullanılamaz hale getirmek değil Gürcistan’ın kendi hikâyesini anlatmasının önüne geçmek ve ülkeyi dünyadan kopartıp yalnızlaştırmaktır. Bu nedenle saldırıların ilk safhasında hedefte hükümet ve medya siteleri vardır. Gürcistan ilk başta Rusya’ya ait IP adreslerini filtrelemeyi dener. Ancak bu sefer de saldırı Rusya dışındaki botnetlerle devam eder. Gürcistan sunucularını başka ülkelere taşısa da DDoS saldırılarından kurtulamaz.
Saldırının ikinci safhasında ise hedef, CNN’i, BBC’yi, finans ve eğitim kuruluşlarını da kapsayacak şekilde genişler. Bankalar daha büyük zararlardan kaçınmak için faaliyetlerini geçici bir süre durdururlar. Bu safhada, DDoS ve spam saldırılarının yanı sıra web sitelerinin içeriğinin değiştirilmesine yönelik saldırılar da yapılır. Bir web sitesinin içeriğini farklı açıklardan faydalanarak değiştirmek olanaklıdır. Bu bölümde ise sadece en sık kullanılan ve en etkili yöntemlerden biri olan SQL enjeksiyonu anlatılacak. Ruslar, karşı tarafın moralini bozmak amacıyla SQL enjeksiyonu adı verilen yöntemlerle bazı web sitelerinin içeriğini değiştirir. Aynı yöntemle web sitelerinde kamuyla paylaşılmayan bazı verilere (kullanıcı adı ve şifreleri gibi) erişmek veya siteyi tamamen çalışamaz hale getirmek de olanaklıdır.
Gelişmiş web sitelerinin arkasında verileri saklayan bir veritabanı bulunur. Kullanıcı bir bağlantıya tıkladığında ya da adres çubuğuna gitmek istediği adresi yazdığında önce kullanıcının bu talebi sitenin ön yüzündeki yazılım tarafından yorumlanır. Örneğin,
http://books.example.com/show.php?ID=5
yazıldığında sitenin ön yüzündeki yazılım ID’si 5 olan kitabı bulup göstermek için geliştirilmiş bir yazılımsa önce veritabanı ile bağlantı kurar, sonra da veritabanı ile SQL (Structured Query Language) dilinde aşağıdakine benzer bir kodla haberleşir ve ona “veritabanından bana ID’si 5 olan kitaba ait bilgileri gönder” der:
SELECT * FROM books WHERE ID=5
Web sitesini geliştiren yazılımcı soru işaretinden sonra bir sayı beklemektedir. Eğer yazılımcı iyimserce kullanıcıların her zaman ID’den sonra bir sayı gireceğini düşünürse SQL enjeksiyonu saldırılarına müsait bir ortam hazırlayacaktır. Saldırganın, programcının bu iyimserliğinden faydalanarak adres çubuğuna yazacağı bir SQL komutu, veritabanına zarar verebilir, verileri değiştirebilir veya gizli verileri gösterebilir. Örneğin saldırgan “veritabanından bana ID’si 5 olan kitaba ait bilgileri gönder; sonra da kitaplara ait tüm bilgileri imha et” diyebilir:
http://books.example.com/show.php?ID=5;DROP TABLE boks
Gürcistan saldırısı sırasında Ruslar SQL enjeksiyonu yönteminden faydalanarak web sitelerinin içeriğini değiştirdikleri gibi sitenin kamuya açık olmayan verilerine de erişilebilmiştir.
Estonya’da olduğu gibi Gürcistan’da da saldırılar Rus hükümetiyle doğrudan ilişkilendirilememiştir. Gürcistan’a yönelik siber saldırıların tamamen milli duygularla gerçekleştirilmiş olabileceği de iddia edilebilir. Fakat siber saldırıların kara harekâtından bir gün önce başlamış olması saldırganların en azından harekât tarihi konusunda bilgi sahibi olduğu şüphesini doğurmaktadır.
Siber casusluk: Truva atları
Estonya ve Gürcistan’da yaşananlar sıcak siber savaştır. Fakat Clarke’ın siber savaş hakkındaki en önemli tespitlerinden biri çatışmayı bekleyen ülkelerin sürekli hazırlık yaptığı, birbirlerinin altyapı ve ağlarına saldırıp buralara tuzak sistemleri ve arka kapılar yerleştirdiğidir (s.5-6 Clarke’dan aktaran Çifçi,2013). Özellikle Çin’in bu alandaki faaliyetleri dikkate değerdir. Çin, saldırmaktansa başka sistemlere sızıp bilgi toplamaya ağırlık vermektedir. Toplanan bilgiler, şirketlerin ticari sırlarından muhaliflerin e-posta hesaplarına kadar çeşitlilik gösterir.
Shakarian vd. (2013), Çin’in stratejisinin farklılığını anlatmak için satranç ve go oyunlarından faydalanır. Batı ülkelerinin siber savaş stratejisi satranca benzemektedir. Satrançta taraflar birbirlerinin taşlarını ortadan kaldırarak rakip şahı sıkıştırmaya çalışırlar. Go’da ise oyuna boş bir tahtayla başlanır:
“Oyunun amacı rakibi tamamen ortadan kaldırmaktan veya taşlarını esir almaktan çok onun karşısında avantajlı bir konuma geçmek, kendi taşlarınızla mümkün olabildiğince çok alanı kontrol altında tutmaktır.” (2)
Çin de doğrudan bir çatışmadan kaçınmakta, rakibini yok etmeye çalışmak yerine siber casusluk faaliyetleri ile onu etkisiz hale getirmekte ve siber alanda kendine yer edinmektedir.
Çin hükümeti, casusluk iddialarını kesin olarak reddetmektedir. Deliller doğrudan Çin’i işaret ettiğinde bile Çin saldırganlarla bir ilişkilerinin olmadığını savunmaktadır. Çin, 1990’lardan beri siber savaşın potansiyelinin farkında olan, askeri örgütlenmesini bu doğrultuda yeniden yapılandıran bir ülkedir. Ayrıca birçok ülkede olduğu gibi Çin’de de çok sayıda hacker topluluğu vardır. Çin hükümeti 2009 yılına kadar bu topluluklara herhangi bir yasal müdahalede bulunmamış, ancak bu tarihten sonraki (uluslararası baskının da etkisiyle) müdahaleleriyle hackerları güvenlik firması kurmaya ya da hükümet adına çalışmaya yönlendirmiştir. Bunun yanında Çin akademisi de siber savaşa hem teorik hem de bilfiil katılmaktadır. Çin’e atfedilen casusluk faaliyetleri incelendiğinde, son derece örgütlü ve profesyonelce hareket ettikleri görülmektedir.
Siber casusluk faaliyeti dört evreden oluşur.
Birinci evre, hedefteki sistemin açıklarını tespit etmeyi hedefleyen istihbarat faaliyetleridir. Bu evrede ilk olarak sistemin genel bir profili ortaya çıkarılır. Örneğin, http://www.aboutthedomain.com/ adresine gidip açılan sayfadaki kutucuğa bilimvegelecek.com.tr yazıldığında sitenin yer aldığı sunucunun IP adresi de dahil olmak üzere bazı bilgilere erişilebilir. Sisteme dair genel bilgi toplarken site sahibinin genellikle haberi olmaz. Web sitesinin içinde gezinerek ve sosyal ağları araştırarak daha sonraki adımlarda işe yarayabilecek ipuçları elde edilebilir. Bu istihbarat çalışmasından sonraki adım sistemi daha iyi tanımak için taramaktır. Bilgisayarların, belirli hizmetleri yerine getirebilmek için port adlı dışarı açılan kapıları vardır. Örneğin web sitelerini sunan bir bilgisayara 80 no’lu porttan erişilir. Ftp ile dosya transfer edebilmek için sunucunun 21 no’lu portu erişilebilir olmalıdır. Bir kuruma ait belirli bir IP aralığında olan tüm bilgisayarları ve bunların erişilebilir kapılarını tarayacak yazılımlar vardır. Erişilebilir portların tespitinden sonra sistemin olası açıklarına odaklanılır. Hedefteki sistemin güvenlik güncellemeleri yapılmamış ya da yapılandırmasında (konfigürasyonunda) zaaflar olabilir.
İkinci evre, veri çalmak ya da veriyi değiştirmek amacıyla sisteme erişimdir. Bu, doğrudan sistemin açıklarından faydalanarak gerçekleştirilebileceği gibi kullanıcıların bilgisayarlarının truva atıyla (trojan) ele geçirilmesi ile de gerçekleştirilebilir. Virüs, solucan (worm) ve truva atı farklı çalışma prensipleri olan zararlı yazılımlardır.
Virüs, kendi kendini çoğaltan bir yazılımdır. Kendini bir dosyaya iliştirir; daha sonra bilgisayardan bilgisayara yayılır. Solucan ise bağımsız, kendi kendine çoğalabilen bir zararlı yazılımdır; ağda çok hızlı yayılabilir. Truva atları ise kendi kendilerini kopyalamazlar ve aktif hale gelmek için kullanıcının çalıştırmasına gereksinim duyarlar. Saldırganın uzaktan erişimine ve bilgisayarı yönlendirmesine olanak verirler. Hem solucan gibi yayılan hem de truva atı gibi uzaktan erişime ortam hazırlayan zararlı yazılımlar da vardır.
Truva atı, internetten indirilen (resim, müzik, program görüntüsü altında) dosyalardan veya şüphe çekmeyen bir e-postadan bulaşabilir. Tibetli göçmenlere yönelik casusluk girişimi buna güzel bir örnektir. Bilmediğiniz birinden e-postayla gönderilen dosyadan şüphelenir ve çoğunlukla dosyaya dokunmadan e-posta’yı silersiniz. Peki, posta sürekli haberleştiğiniz birinden veya şüphe çekmeyecek bir adresten geliyorsa ne yaparsınız? Uygun bir ortam hazırlandığında bilgisayar kullanıcılarını aldatmak sanıldığından kolay olabilmektedir. Örneğin Tibetli göçmenler, campaigns@freetibet.org adresinden gelen ve hiç şüphe çekmeyen bir adı olan (Translation of Freedom Movement ID Book for Tibetans in Exile.doc) dosyaya tıklayarak tuzağa düştüler; dosyayı açmak için tıkladıklarında truva atı da aktif hale geldi (age).
Truva atı, tıklanıp aktif hale geldikten sonra bilgisayarınız ele geçirilmiş demektir ve bir zombi olarak saldırganın emrine girmiştir. Zombiler, DDoS saldırılarına katılabilir, spam atabilir, önemli dosyalarınızı çalabilir, bilgisayarınıza yeni dosya transferi yapabilir, banka şifrelerinizi çalabilir, ekran görüntülerinizi alabilir… Tabi tüm bu işlemleri komut ve kontrol sunucusundan gelen emirlere göre gerçekleştirir. Tibet örneğinde bu komut ve kontrol bilgisayarlarının yaklaşık yüzde 70’inin Çin’de olduğu tespit edilmiştir.
Truva atı herkesi yanıltabilir. Hatta bu saldırı yöntemi ile Google gibi çok daha iyi korunan devler de tuzağa düşürülebilir. Microsoft Messenger kullanan bir Google çalışanına şüphelenmeyeceği birinden, şüphelenmeyeceği bir bağlantı gönderildikten sonra tarayıcı Tayvan kökenli bir web sitesine gitmiş ve bu sitede çalışan zararsız görünümlü bir kod Internet Explorer’ın o güne kadar pek bilinmeyen bir açığından faydalanarak sisteme uzaktan erişim için bir arka kapı (back-door) yaratmıştır. Google yaptığı açıklamada saldırının Çinli insan hakları aktivistlerine ait hesaplara ve fikri mülkiyetine yönelik olduğunu duyurmuştur. Ancak 2009 yılının ikinci yarısında gerçekleşen bu saldırının benzerlerinin Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec vb şirketlere yönelik de denendiği düşünülürse asıl hedefin fikri mülkiyet olduğu düşünülebilir.
Burada asıl dikkat edilmesi gereken bilgisayara erişimin nasıl gerçekleştiğidir.
Sisteme girilirken, “Internet Explorer’ın o güne kadar pek bilinmeyen bir açığından” faydalanılmıştır. Bu tip saldırılar sıfır gün saldırıları (Zero-day attack) olarak bilinir ve henüz tespit edilmemiş ya da tespit edilmesine rağmen düzeltmeye henüz fırsat bulunamamış hataları ve açıkları kullanarak gerçekleştirilen saldırıları ifade eder. Bireylerin bu bilgileri siber savaşta kullanılmak üzere istihbarat servislerine satması yaygındır. (3) Bilgisayarınızın güvenlik güncellemelerini yapmıyorsanız risk altındasınız demektir. Microsoft geçen yıl yaptığı açıklamada desteğine son verdiği Windows XP işletim sistemi kullanıcılarını sıfır gün saldırıları konusunda uyarmaktadır. (4) Windows XP gibi yıllardır kullanılan bir işletim sisteminde bile hâlâ sıfır gün açıkları ortaya çıkabiliyorsa korsan yazılım kullanan kullanıcıların diken üstünde olması gerekir.
Ayrıca sıfır gün açığından faydalanarak bir arka kapı yaratıldığı belirtilmektedir. Arka kapılar, normal güvenlik adımlarını atlayarak bilgisayara girme şansı verir. Arka kapılar, yazılımı geliştirenlerin dikkatsizliğinden kaynaklı olabileceği gibi bir sistem ele geçirildikten sonra daha sonraki girişleri kolaylaştırmak için de oluşturabilir. Bazı arka kapılar ise iPhone’da olduğu gibi doğrudan yazılımı geliştiren şirketler tarafından konulabilmektedir. (5) Kodun nasıl çalıştığını bilemediğimiz özel mülk yazılımlar arka kapılar içerebilir ve bunun tespiti zordur.
Üçüncü evrede ise hedef, ele geçirilen sistemde uzun süre fark edilmeden bilgi toplamaktır. Truva atları sisteme yeni yazılımlar da yükleyebilir. Daha sonra Tibetlilerin bilgisayarına gh0st RAT (Remote Access Tool – Uzaktan Erişim Aracı) adlı yazılımın yüklendiği ve bu yazılımla daha yoğun bir takibin yapılabildiği ortaya çıkmıştır. Kameralar kullanıcının haberi olmadan açılmış, mikrofonlar aktif hale getirilerek ortam dinlemesi yapılabilmiştir. Yapılan araştırmalar sonucunda 2007-2009 yılları arasında Dalai Lama’nın ofisinde bulunan ve sürgündeki Tibet hükümetine ait yaklaşık 1300 bilgisayarın gh0st RAT’ten etkilendiği tespit edilmiştir (age).
Yine Çin kaynaklı başka bir casusluk faaliyetinde bir şirketin ele geçirilen bilgisayarlarındaki veriler şifrelenerek şirket dışına aktarılmıştır. Güvenlik uzmanlarının daha sonra yaptığı araştırmalardan elde ettiği bulgular, iki ayrı takım halinde çalışıldığını ve sisteme erişim sağlayan birinci takımın daha profesyonel çalışıp hiçbir delil bırakmazken verileri transfer eden ikinci ekibin basit hatalar yaptığını göstermektedir. Buna rağmen dosyaları transfer eden ekip yakalanma ihtimaline karşı bu dosyaları şifrelenmiş olarak transfer ettiğinden casusluğun amacı tespit edilememiştir (age).
Dördüncü evrede, elde edilen veriler toplanıp analiz edilir. Bu analizden elde edilecek bilgilerle yeni hareket olanakları değerlendirilir. Örneğin bir bilgisayar kullanıcısının ilişkide olduğu kişileri ve bu ilişkinin türü tespit edildiği durumda bu kişileri truva atı saldırıları için aldatıcı mesajlar göndermek daha kolay olacaktır. Ya da bir kurumun yerel ağ yapısını, bu ağdaki sunucuları ve yazılımları öğrendikten sonra daha ileri bir saldırı düzenlemeye girişilebilir.
Gelişmiş casus yazılımlar
Çin kaynaklı casusluk faaliyetlerinden sonra kamuoyu çok daha ileri casus yazılımlarla tanışmıştır. Bu gelişmiş yazılımlar, kullanıcı hatasından çok sistem açıklarından faydalanan ve uzunca bir süre tespit edilemeyen yazılımlardı.
Duqu (6, 7, 8)
1 Eylül 2011’de tespit edilen Duqu da önceki bölümde anlatılan yazılımlar gibi ele geçirilen bilgisayarda bir arka kapı açarak bu bilgisayardaki dosyaların başka bilgisayarlara aktarılmasını sağlıyordu, bir diğer deyişle truva atıydı. Symantec’in dosyaların derlenme zamanına dayanarak yaptığı yoruma göre Duqu’nun dolaşımı Aralık 2010’da başlamış olabilirdi. Duqu’nun tespitinden sonra ele geçirilen bilgisayarları kontrol eden bilgisayarların IP adresleri incelendiğinde belirli bir ülkeyle ilişkilendirilemeyecek kadar dağıtık olduğu görüldü. Kaspersky firmasına göre Duqu, her şeyi çalmak üzere programlanmıştı. Kaspersky’nin araştırmalarına göre saldırganlar özellikle şifre toplamakla ilgileniyordu; kullanıcının eylemlerini takip için ekran görüntüleri ve farklı türlerdeki dosyalar çalınıyordu. Duqu kodunda veri çalmak dışında sistemlere zarar vermeye yönelik herhangi bir ipucuna rastlanmadı. Ama saldırıdan etkilenen bilgisayarlara bakıldığında endüstriyel kontrol sistemleri üreten şirketlerin olduğu ve bu bilgisayarların ağırlıkla İran ve Sudan’da bulunduğu görülmekteydi.
Duqu kök kullanıcı takımı (rootkit) teknolojisi ile önceki casus yazılımlardan çok daha başarılı bir şekilde faaliyetlerini gizleyebiliyordu. Kök kullanıcı takımı, işletim siteminde merkezi konumda olan çekirdeği hedefleyen bir programdır. Çekirdek düzeyinde çalışan bu program bilgisayardaki tüm dosyalara ve çalışan programlara erişim hakkına sahiptir. Böylece kendini gizlemesi daha kolaydır. Kullanıcı, bilgisayarında Internet Explorer’ı açtığında dışarıdan görebildiği sadece Internet Explorer’ın çalıştığıdır. Ama kök kullanıcı takımı ile çalışan bir programın içine gizlenip kullanıcıya kendini göstermeden casusluk faaliyetlerine devam edilebilir. Duqu da bu şekilde kendini services.exe ve lsas.exe gibi sistemin temel programlarının yanı sıra firefox.exe ve iexplore.exe gibi programlar çalışırken bunların içine gizlenmiştir. Ayrıca Duqu’nun çekirdeği Tayvanlı bir firmadan çalınan sayısal sertifikayla aldattığı tespit edilmiştir.
Duqu, Windows’un bir bileşeninin kamuoyunca bilinmeyen bir sıfır gün açığını kullanır. Microsoft Ofis ile açılan bir word belgesi Duqu’yu etkin hale getirir. Bilgisayar ele geçirildikten sonra, önceki bölümdeki örneklerde olduğu gibi, komut ve kontrol sunucusunun emirleri doğrultusunda çalışır.
Tüm bilgileri aldıktan sonra aynı bilgisayarda fazla uzun süre kalmanın casusluk açısından bir faydası olmayacaktır. Ayrıca yakalanması durumunda artık deşifre olacağından sonraki faaliyetlerinde anti-virüs yazılımları tarafından da yakalanabilecektir. Bu nedenle Duqu, 36 gün sonra intihar edip sistemdeki izlerini temizlemekteydi.
Flame (9, 10, 11,12)
28 Mayıs 2012’de tespit edilen Flame özellikle rekor büyüklükteki boyutuyla (20 MB) dikkat çekiyordu. Bu boyutun hakkını verircesine çok farklı verileri (sesi, ekranı, klavye hareketlerini vs) kaydedebiliyor, farklı yollardan (ağ, usb, yazıcı paylaşma) diğer bilgisayarlara bulaşabiliyor ve dosyaları sıkıştırabiliyordu. Flame’in Windows 7 yamalarıyla da ağdaki diğer bilgisayarlara bulaştığı tespit edildi. Ayrıca çalınan dosyaları gizli ve şifreli olarak USB disklerde saklayabiliyordu.
Kaspersky’e göre o zamana kadarki en karmaşık ve işlevsel siber silahtı. Üstelik sıra dışı boyutuna ve 2010 Mart’ından beri aktif olmasına karşın iki yıl kendini gizlemeyi başarabilmişti. Flame’de Duqu’daki gibi otomatik bir intihar tespit edilemedi ama uzaktan komutla çalıştırılabilecek bir intihar modülüne sahipti.
Flame’in ABD ya da İsrail kökenli olduğuna dair güçlü şüpheler vardı. Washington Post’a göre hedef İran’ın nükleer faaliyetlerini sekteye uğratmaktı. Tabi bunu ispatlamak da mümkün olmadı. Ama Flame’den etkilenen bilgisayarlara bakarak bir tahminde bulunabiliriz:
Gauss (13, 14)
Gauss adlı truva atı da 2012 yılının Haziran ayında keşfedildi. Gauss bilgisayarlardan tarayıcı geçmişlerini, çerezleri, sistem yapılandırma bilgilerini çalmasının yanında daha önceki zararlı yazılımlarda rastlanmayan bir özelliğe sahipti, özellikle bankacılık işlemlerini takip için hazırlanmıştı.
Gauss, usb diskten bulaşma ve dosyaları usb diskte gizleme gibi Flame’le benzer özelliklere sahipti. Ayrıca Duqu gibi kendini belirli şartlar oluştuğunda siliyordu. Sistemlere nasıl bulaştığı hakkında net bir bilgi olmamakla beraber bulaşan bilgisayarların Windows 7 olmasından yola çıkarak bunun Windows 7’nin henüz bilinmeyen bir sıfır gün açığından faydalanarak gerçekleştirildiği de düşünülebilir. Gauss’un arkasında da yine bir ulus devletin olduğuna dair ciddi şüpheler var. En başta Gauss’un banka hesaplarını hırsızlık yapmak için değil de sadece banka işlemlerini takip için kullanmış olması Gauss’un arkasında bir dolandırıcılık çetesinin değil de istihbarat servislerinin olabileceğini düşündürüyor. Ayrıca yazılımın kodunun analizinde hedefinin Lübnan olduğuna dair deliller de var. Gauss’un bulaştığı bilgisayarların dağılımı da bunu doğruluyor:
Siber savaşın sınırları
Siber savaşta internet altyapısına saldırarak hizmetleri geçici süre durdurmanın ve böylece hasmı ekonomik zarara uğratmanın ya da dünyayla iletişimini kesmenin mümkün olduğunu, internete bağlı bilgisayarların yazılım açıklarından faydalanarak veya kullanıcılara tuzaklar kurarak bilgisayardan veri çalınabildiğini gördük. Peki, siber savaşın sınırları nedir? Karşı tarafa yıkıcı zararlar vermek mümkün müdür?
– Siber saldırı ile bir su arıtma tesisine zarar verilebilir mi?
– Bir şehir elektriksiz bırakılabilir mi?
– Nükleer santral sabote edilebilir mi?
Tüm bu soruların yanıtı “evet”tir.
Su arıtma tesisine zarar vermek ciddi bir iştir ve gerçek bir savaş hali olmadan bir devletin ya da örgütün buna girişmesi olağan bir durum değildir. Ama bunun siber savaşta her zaman imkan dahilinde olduğunu unutmamak gerekir. Maroochy (Avustralya) Eyalet Meclisi’ne yaptığı iş başvurusu reddedilen Vitek Boden’in 2000 yılında eyalet atık yönetim sistemine karşı gerçekleştirdiği saldırı siber savaşın potansiyeli hakkında ipuçları vermektedir. Aynı zamanda sistemi kuran şirketin de bir çalışanı olan Boden 2000 yılının Mart ve Nisan ayında bir dizüstü bilgisayarı ve radyo vericisi kullanarak 142 pompa istasyonunu ele geçirmiş, milyonlarca litre lağım suyunun arıtılmamış bir halde parklara ve nehirlere akmasına neden olmuştur. Günümüzde birçok sistemin sayısallaşıp başına “e-” eklendiği ve önceki bölümlerde gerçekleştirilen casusluk faaliyetlerinde kullanılan ileri teknikler düşünülürse siber savaşın potansiyeli daha açık seçik görülebilir. (15)
Siber savaştaki önemli bir araştırma konusu da elektrik şebekeleridir. Bir elektrik şebekesinin işlevlerini üç düzeyde inceleyebiliriz. Birinci düzeyde iş ve operasyon yönetimi gibi kurumsal işlevler yer alır. Sonraki gün için üretilecek enerjiye, trafo merkezi bakımlarının ne zaman olması gerektiğine bu düzeyde karar verilir. İkinci düzeyde, trafo merkezlerine giden güç düzenlenir ve takip edilir. Üçüncü düzeyde ise gücün tüketicilere iletiminin takibi vardır.
Her üç düzeyde de bilişim teknolojileri yoğun olarak kullanıldığı elektrik şebekelerine yönelik siber saldırılar üç yoldan gerçekleştirilebilir. Birincisi, elektrik şebekesinin bir bileşenini hedef alarak yapılan saldırıdır. Saldırılan bir bileşene zarar vererek ya da onu kapatarak sistemin bütününe zarar verilebilir. Bu tarz bir saldırının uygulanabilir olup olmadığını görebilmek için 2007’de ABD Enerji Bakanlığı tarafından Auorora adlı bir test yapıldı. Testin sonucu olası bir siber saldırının yapabileceklerini gösteriyordu, bu testi izlemek için bkz. (16):
İkinci yol ise elektrik şebekesinin kontrol birimleri ile trafo merkezleri arasındaki iletişim protokolüne saldırmaktır. Bu iletişim protokollerini cüzi bir ücretle edinmek mümkündür. “Aradaki Adam Saldırısı” (Man-In-the-Middle Attack) adıyla bilinen yöntemle, şebekenin bileşenleri arasındaki iletişime müdahale edilerek, sistem içi iletişim bozulabilir. Bu saldırı, maddi zarara neden olabileceği gibi insanların can güvenliğini de tehlikeye atabilir. Üçüncüsünde ise elektrik şebekesinin topolojisinden faydalanarak şebeke çökertilir. Araştırmalar elektrik şebekesinde belirli bileşenlerdeki arızaların adım adım diğer bileşenlerde de arızalara neden olabileceğini göstermektedir (Shakarian vd., 2013).
Atık su sistemine saldırı bireysel bir saldırıdır. Aurora da sadece bir testtir. Daha önceki bölümlerde tartışılan örneklerde incelenen saldırı örneklerinde ise saldırıların amacı hizmetleri geçici bir süre kesintiye uğratmak ya da casusluktu. Saldırıların sistemlere zarar vermek gibi bir niyeti yoktu, hatta amaç gereği bundan kaçınıldı. Tabi bu niyetin yokluğu bir zararın verilemeyeceği anlamı taşımaz Bu nedenle, 2010 yılının Haziran ayında keşfedilen Stuxnet için bilişim savaşı tarihinde bir dönüm noktası denilebilir. Önceki bölümde anlatılan ve Stuxnet’in ardılı olan casus yazılımlar, Stuxnet’ten çok şey öğrenmişlerdir!
Stuxnet solucanı önceki bölümde tartışılan siber saldırılarla (özellikle Duqu’yla) büyük teknik benzerliklere sahiptir. Kaspersky’nin ikisinin aynı projenin ürünü olabileceğine dair kuvvetli şüpheleri vardır. (17) Mimarilerinde ve yazılım kaynak kodlarınra benzerlikler vardır. İki yazılım da aynı ekip tarafından geliştirilmiş olabilir. Aynı ekip olmasa bile her iki ekibin de aynı işveren için çalışmış olma ihtimali yüksektir. Kaspersky bunu Windows ve Office ilişkisi ile açıklar. Her iki yazılımı geliştiren ekipler farklı olsa da Microsoft için çalışırlar ve kodlarında doğal bir benzerlik bulunur. Ayrıca en önemlisi hem Stuxnet’in hem de Duqu’nun çekirdekle haberleşmesini sağlayan sayısal sertifikalar Tayvan kökenlidir.
Stuxnet önceki zararlı yazılımlar gibi bir truva atı değildir. PLC’lere (Programlanabilir mantıksal denetleyici – Programmable Logic Controllers) saldırıyı hedefleyen bir bilgisayar solucanıdır ve amacı nükleer santrali sabote etmektedir. Sıfır gün açıklarından faydalanarak gerçekleştirilen saldırılar truva atı saldırılarına göre daha ileri bir bilgi düzeyi gerektirir. Stuxnet ise Windows’un dört, Siemens’in de bir sıfır gün açığından faydalanmıştır. Normalde saldırganlar bu kadar sıfır gün açığını aynı anda harcamazlar. Çünkü bu tip açıklar pahalıdır ve keşfedildikten sonra hemen düzeltilip geçersiz hale gelebileceğinden genellikle teker teker kullanım tercih edilir.
Stuxnet, güvenlikle ilgili önceki varsayımları da geçersizleştirmiştir. Ağda olmayan bir bilgisayarın daha güvende olacağı varsayılır. Fakat Stuxnet, ağda olmayan bilgisayarlara da güvenilemeyeceğini, ayrık sistemlerin de risk altında olduğunu göstermiştir. Çünkü sistem yöneticileri hem bu sistemleri ayrık tutarak zararlı yazılımlardan korumak isterler hem de daha güvenli hale getirmek için güncellemelerini aksatmak istemediklerinden ağa ya da taşınabilir disklere gereksinim duyarlar.
Stuxnet, işletim sistemlerinde çekirdeğe izinsiz erişimleri engelleyerek güvenliği sağladığı varsayılan sayısal olarak imzalanmış sertifikalara olan güveni de sarsmıştır. Bu sertifikalardan herhangi birinin ele geçirilmesiyle sistemin çekirdeğine erişilebilmiştir.
Stuxnet’in amacının İran’ın nükleer çalışmalarına zarar vermek olduğu açık seçik ortadadır. Fakat bunu nasıl yapacaktır? Bu konuda iki teori vardır. Birincisi, Symantec ve ISIS (Institute for Science and International Security) tarafından savunulan Stuxnet’in santrifüjleri bir an önce imha etmeyi hedeflediği görüşüdür. (18) Langner’in savunduğu ikinci teoriye göre ise Stuxnet’in bir anda değil, ama zaman içinde mekanik arızalar çıkaracağı yönündedir. (19) Symantec’in 2013’ün başında keşfettiği ve Stuxnet 0.5 adını verdiği solucan sonrasında yapılan yorumlarda ise Stuxnet’in 0.5 versiyonunun gizli, doğrudan olmayan bir saldırı içinde olduğu ama belki de bundan tatmin olmayan Stuxnet geliştiricilerinin sonraki sürümlerinde daha doğrudan bir saldırı yöntemini tercih etmiş olabileceği belirtilmiştir (Shakarian vd., 2013).
2010 yılında keşfedilen Stuxnet, şimdi olanların ve gelecekte yaşayacaklarımızın habercisidir.
Sonuç
Almanya’da NSA (National Security Agency – ABD Ulusal Güvenlik Dairesi) casusluk soruşturmasını yürüten ekibin başkanı olan Patrick Sensburg, daktilo devrine dönmekten söz etti. Şaka yapmıyordu. (20) Bir yıl önce, Snowden’in açıklamalarından sonra Rusya da benzer açıklamalar yapmıştı. (21)
Türkiye’deki yaygın korsan yazılım kullanımı daha da büyük bir risk oluşturuyor. Büyük bir ihtimalle ülkemiz harekete geçmeyi bekleyen zombi bilgisayarlarla doludur… Kamu hizmetlerinde ve gündelik hayatta her şeyin başına ‘e-’ eklerken tehlike de giderek büyüyor.
‘GNU/Linux kullanın, tam güvende olun’ diyemem. Ama daha güvende olursunuz. Çünkü siber savaş konusunda en rahatsız edici konulardan biri işletim sistemlerindeki arka kapılar ve sıfır gün açıkları. Microsoft’un ve muhtemelen diğer ABD’li şirketlerin NSA’yı henüz kamuoyuyla paylaşılmamış sıfır gün açıkları hakkında bilgilendirdiğini biliyoruz. (22) Yabancı şirketlerin kontrolünde olmayan bir teknoloji kullanırsak en azından siber savaşa daha eşit şartlarda katılmış oluruz.
Aslında tamamen dışa bağımlı bir bilişim altyapısına sahip olduktan sonra fazla söze de gerek yok…
Dipnotlar
1) http://www.computerworld.com/s/article/9232610/Tech_predictions_gone_wrong, son erişim 22 Ağustos 2014.
2) http://tr.wikipedia.org/wiki/Go, son erişim 22 Ağustos 2014.
3) http://en.wikipedia.org/wiki/Zero-day_attack, son erişim 22 Ağustos 2014.
4) http://redmondmag.com/articles/2013/08/16/windows-xp-zero-day.aspx, son erişim 22 Ağustos 2014.
5) http://www.zdnet.com/forensic-scientist-identifies-suspicious-back-doors-running-on-every-ios-device-7000031795/, son erişim 22 Ağustos 2014.
6) http://en.wikipedia.org/wiki/Duqu, son erişim 22 Ağustos 2014.
7) http://www.kaspersky.com/about/press/major_malware_outbreaks/duqu, son erişim 22 Ağustos 2014.
8) http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet, son erişim 22 Ağustos 2014.
9) http://en.wikipedia.org/wiki/Flame_%28malware%29, son erişim 22 Ağustos 2014.
10) http://www.kaspersky.com/flame, son erişim 22 Ağustos 2014.
11) http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-, son erişim 22 Ağustos 2014.
12) http://securelist.com/blog/incidents/34344/the-flame-questions-and-answers-51/, son erişim 22 Ağustos 2014.
13) http://www.kaspersky.com/no/gauss, son erişim 22 Ağustos 2014.
14) http://securelist.com/blog/incidents/33854/gauss-nation-state-cyber-surveillance-meets-banking-trojan-54/, son erişim 22 Ağustos 2014.
15) http://csrc.nist.gov/groups/SMA/fisma/ics/documents/Maroochy-Water-Services-Case-Study_report.pdf, son erişim 22 Ağustos 2014.
16) Testi izlemek için: http://www.youtube.com/watch?v=fJyWngDco3g, son erişim 22 Ağustos 2014.
17) http://www.scmagazine.com/duqu-father-son-or-unholy-ghost-of-stuxnet/article/215851/, son erişim 22 Ağustos 2014.
18) http://isis-online.org/isis-reports/detail/stuxnet-malware-and-natanz-update-of-isis-december-22- 2010-reportsupa-href1/8, son erişim 22 Ağustos 2014.
19) http://www.digitalbond.com/blog/2012/01/31/langners-stuxnet-deep-dive-s4-video/, son erişim 22 Ağustos 2014.
20) http://www.theguardian.com/world/2014/jul/15/germany-typewriters-espionage-nsa-spying-surveillance, son erişim 22 Ağustos 2014.
21) http://www.theguardian.com/world/2013/jul/11/russia-reverts-paper-nsa-leaks, son erişim 22 Ağustos 2014.
22) http://redmondmag.com/articles/2013/06/14/zero-day-security-info.aspx, son erişim 22 Ağustos 2014.
Kaynaklar
1) Çifçi, H. (2013); Her Yönüyle Siber Savaş, Tübitak Yayınları.
2) Lewis, J. A. (2002); Assessing the risks of cyber terrorism, cyber war and other cyber threats. Center for Strategic & International Studies.
3) Ranum, M. (2004); CyberWar: reality or hype? Vanguard security conference, 2004, Reno Nevada, http://www.ranum.com/security/computer_security/archives/myth-of-cyberwar.pdf, son erişim 18 Ağustos, 2014.
4) Shakarian, P., Shakarian, J., & Ruef, A. (2013); Introduction to cyber-warfare: A multidisciplinary approach. Syngress.
