EN ÇOK OKUNAN MAKALELER
Makaleler Yükleniyor...
E-BÜLTENİMİZE ABONE OLUN!
Sektördeki son haberleri takip etmek
için ücretsiz haftalık bültenimize
abone olun...
Sektörden İş Fırsatları
Güvenlik sektöründeki iş fırsatlarını buradan takip edebilirsiniz! Aradığınız kariyer fırsatları burada...
MAKALE DETAYI
Milyonlarca Kamerayı Vuran Botnet Saldırısı Nedir? Korunmak Neden Zor?
Kameraları ve akıllı cihazları zombi moduna dönüştüren botnetler nasıl çalışır? Botnetlerden korunmak mümkün mü?
Son yıllarda tüm dünyada güvenlik endişelerine neden olan botnet’leri, bir saldırganın ele geçirdiği her tür internet bağlantılı aygıttan oluşan, bir nevi ağ olarak tanımlamak mümkün. Dağıtık Hizmet Reddi (DDoS) saldırılarında yaygın olarak kullanılan botnet'ler, toplu bilgi işlem gücünden yararlanarak, büyük miktarlarda spam göndermek, veri çalmak veya casusluk faaliyetleri için kullanılabiliyor.
Saldırganlar, ağa bağlı cihazlara kötü amaçlı yazılımlar bulaştırırlar ve bir komuta ve kontrol sunucusu üzerinden cihazları yöneterek botnet'ler kurarlar. Bir saldırgan belirli bir ağdaki bir aygıtı ele geçirdiğinde, o ağda yer alan ve güvenlik açığı bulunan tüm aygıtlar virüs bulaşma riski altındadır.
Bir botnet saldırısı yıkıcı etkilere sahip olabilir. Geçen yıl adını çokça duyduğumuz Mirai botneti, Twitter, Netflix, CNN ve diğer büyük web sitelerini etkilemenin yanı sıra bazı büyük Rus bankalarında ve Liberya'nın tamamında internetin kesintiye uğramasına neden oldu. Botnet, başta güvenlik kameraları olmak üzere internet (IoT) cihazlarının güvenlik açıklarından yararlanarak, cihazları, internet trafiğini yönlendiren DYN sunucularına saldırılarda kullandı.
Mirai botnet’inin neden olduğu zarara rağmen geçen yıldan bu yana cihaz üreticileri, telekom şirketleri ve internet altyapı sağlayıcılarının bu büyük tehlike karşısında yeterli önlemleri aldığını söylemek çok zor. Çünkü yeni botnet'ler gelmeye devam ediyor.
Bu haftada yayınlanan Akamai internet güvenlik raporuna göre, botnet'ler varlığını sürdürmekle kalmıyor, aynı zamanda daha akıllı ve daha güçlü bir şekilde geliyor. Örneğin, saldırganlar şimdi DNS bilgisini hızla değiştiren Fast Flux DNS kullanıyorlar, böylece onları izlemek çok daha zorlaşıyor.
Geçtiğimiz aylarda Check Point araştırmacıları, IoT cihazlarını Mirai'den daha hızlı bir şekilde ele geçiren "IoTroop" ve "Reaper" olarak bilinen yeni bir botnet keşfettiklerini açıkladı. Araştırmacılara göre saldırı aktif hale geldiğinde, internet dünya çapında kesintiye uğrayabilir.
Mirai’nin bu denli geniş bir kitleye yayılmasında, cihazların fabrika ayarları ile gelen varsayılan kullanıcı adlarını ve şifrelerinin kullanılması neden oldu. Savunmasız cihazlar ele geçirilerek, zararlı yazılımlar bulaştırıldı. Reaper, D-Link, Netgear ve Linksys gibi büyük üreticiler de dahil olmak üzere yaklaşık 120 farklı cihaz üreticisinin en az dokuz farklı güvenlik açığını kullandı.
Botnet neden durdurulamıyor?
Botnet'leri durdurmayı zorlaştıran etkenlerin başında, güvensiz cihazların yaygın olarak kullanılması, piyasaya sürülmesi ve virüs bulaşmış makinelerin internetten tamamen uzaklaştırılmasının imkânsızlığı geliyor. Tüketiciler bir güvenlik kamerası veya ağa bağlı bir cihaz satın almak için bir mağazaya girdiklerinde özellikleri gözden geçiriyorlar, bilindik markaları arıyorlar ve en önemlisi fiyata bakıyorlar. Cihaz güvenliği ve sağladığı standartlar ise nadiren dikkate alınıyor.
Kullanıcılar ucuz ve güvensiz cihazlar satın almaya devam ederken, botnet’e karşı savunmasız ve her an botnet ağının bir parçası olabilecek nokta sayısı da artmaya devam ediyor. Araştırma şirketi Gartner, bu yılın sonuna kadar 8,4 milyar cihazın kullanımda olacağını ve bunun 2020 yılında iki katından 20,4 milyara çıkacağını tahmin ediyor.
Botnet nasıl tespit edilir?
Botnet'ler genelde merkezi bir komut sunucusu tarafından kontrol edilir. Teorik olarak bu sunucu üzerinden virüs bulaşmış cihazları belirlemek ve temizlemek basit bir iş olarak görülse de gerçekte bu hiç de kolay bir şey değildir. Botnet, interneti etkileyecek kadar büyük bir aktivite sergilediğinde, Mirai botneti’nde olduğu gibi ISS'ler olup biteni anlamaya ve trafiği azaltmaya çalışır. Ancak saldırılar spam vb. gibi nispeten küçük olduğunda ISS'ler bu durumda çok fazla ilgilenmeyecektir. Ayrıca botnet trafiğini tespit etmek gerçekten zordur. Tüm bunların yanında operasyonel açıdan, uyum ve gizlilik konuları da söz konusudur. Bir kullanıcı, ağında tek bir bağlantıyı kullanan birden fazla cihaza sahip olabilirken, bir işletmede ya da fabrikada bu sayı yüzlerce hatta binlerce cihaza ulaşabilir. Özetle botnet’ten etkilenen bir cihazı ağ ortamından izole etmenin bir yolu henüz bulunmuyor.
Üstelik botnet’ler kimliğini de gizlemeye çalışıyor. Örneğin, Akamai’nin izlediği bir botnet, şuan Fortune 100 şirketleri ile ilişkili IP adresleri üzerinden çalışıyor gibi görünüyor. Bazı güvenlik firmaları, enfekte olmuş cihazları tanımlamak için altyapı sağlayıcılarıyla birlikte çalışıyor ve enfekte olmuş cihazları belirleyebiliyor. Ancak milyonlara varan cihaz sayısı ve bu cihazların yazılım güncelleme ihtiyacı operasyonel zorlukları da beraberinde getiriyor. Çoğu cihazda, uzaktan sistem yükselme seçeneği bulunmuyor. Konu güvenlik kameralarına geldiğinde uygulama zorluğu daha da ön plana çıkıyor. Örneğin uzak mesafelerde kurulu kameraları tek tek toplamak ve güncellemek oldukça büyük bir iş gücü, zaman ve emek gerektiriyor.
Üstelik kameralar ve diğer cihazlar genellikle virüs bulaştıktan sonra bile çalışmaya devam ettiğinden, kullanıcılar cihazlarını rafa kaldırmak ya da yenisiyle değiştirmek gibi bir eğilime sahip değil. Bant genişliği kullanımından ötürü enfekte cihazlarda görüntü kalitesi biraz düşse de genellikle kabul edilebilir bir seviyede kalıyor.
Tabi bu, kullanıcıların, cihazlarının bir botnet’in parçası olduğunu bildikleri durumlar için geçerli bir senaryo. Yaygın olarak kullanıcılar botnet'in bir parçası olduğunu bilmezler ve botnet faaliyetlerini kişisel ağlarında izlemek için herhangi bir güvenlik denetimi de yoktur.
Tüketicilerle karşılaştırıldığında botnet’lere karşı kurumsal kullanıcıların elinde daha fazla araç var, ancak botnet'leri tespit etmek bir BT departmanının en önemli gündemini oluşturmadığı bir gerçek. Kurumların siber güvenlik ekipleri genellikle, kendi ağlarından kaynaklanan saldırılara değil, kendi kaynaklarını hedef alan dış saldırılara öncelik veriyor.
Botnet'leri kapatma ve yaratıcılarını tutuklama konusunda bazı ilerlemeler kaydediliyor. Örneğin, 2017 yılı baharında, Waledac ve Kelihos spam botnet’lerinin ardındaki isim olduğu iddia edilen korsan Peter "Severa" Levashov'u İspanya’da tatile çıktığı sırada, uluslararası polis ve istihbarat örgütlerinin ortak çalışması sonucunda tutuklandı.
Botnet'in nasıl kurulduğuna bağlı olarak, devredışı bırakmak biraz daha zorlu bir süreç. Örneğin Kelihos botnet’i beş kez devre dışı bırakılmasına rağmen, programcısı serbest olduğu için kesinti sadece birkaç saatle sınırlı kaldı.
Botnet tehlikesinin geliştiğine dair başka bir gelişme olarak, ESET ve Microsoft ile çalışan yetkililer, geçen hafta 1.244 domain, 80 kötü amaçlı yazılım ve ilişkili olarak 464 botneti etkisiz hale getirdi. Siber güvenlik operasyonu, Rusya'da bir kişinin tutuklanmasıyla sonuçlandı.
ESET'e göre, belirli bir grup, 2011 yılından bu yana, Andromeda, Gamarue ve Wauchos olarak bilinen ve ayda 1.1 milyondan fazla sistemi enfekte eden botnetleri darkweb’de sattı. Botnet'in arkasındaki adam olarak "Ar3s" olarak da bilinen Jarets Sergey Grigorevich’in adı geçti. Grigorevich tutuklanmasına rağmen, güvenlik güçleri tarafından kimliği doğrulanmadı.
Kalıcı bir çözüm mümkün mü?
Botnet sorununu tamamen çözmek için teknik zorlukların dışında küresel bir işbirliğine gidilmesi gerekiyor. Küresel bir siber suç sistemi oluşturmanın yanı sıra, üreticilerin IoT cihazlarında belirli bir güvenlik standardının uygulaması da önemli. Ancak uygulamada tüm dünya ülkelerinin ve saldırıdan etkilenen endüstrilerin bir araya gelip ortak bir yaklaşım üzerinde anlaşması oldukça zor.
İnternetin küresel doğasını göz önünde bulundurduğumuzda, ön görülen botnet saldırıları başladığında tüm ağı büyük bir tehlike bekliyor. Botnet’in etkileri sadece enfekte olan cihazları ve günümüzün dijital işletmelerini değil, saldırıların doğası gereği ağ trafiği üzerinden genel olarak interneti kullanan herkesi bir şekilde etkileyecek görünüyor.
Saldırganlar, ağa bağlı cihazlara kötü amaçlı yazılımlar bulaştırırlar ve bir komuta ve kontrol sunucusu üzerinden cihazları yöneterek botnet'ler kurarlar. Bir saldırgan belirli bir ağdaki bir aygıtı ele geçirdiğinde, o ağda yer alan ve güvenlik açığı bulunan tüm aygıtlar virüs bulaşma riski altındadır.
Bir botnet saldırısı yıkıcı etkilere sahip olabilir. Geçen yıl adını çokça duyduğumuz Mirai botneti, Twitter, Netflix, CNN ve diğer büyük web sitelerini etkilemenin yanı sıra bazı büyük Rus bankalarında ve Liberya'nın tamamında internetin kesintiye uğramasına neden oldu. Botnet, başta güvenlik kameraları olmak üzere internet (IoT) cihazlarının güvenlik açıklarından yararlanarak, cihazları, internet trafiğini yönlendiren DYN sunucularına saldırılarda kullandı.
Mirai botnet’inin neden olduğu zarara rağmen geçen yıldan bu yana cihaz üreticileri, telekom şirketleri ve internet altyapı sağlayıcılarının bu büyük tehlike karşısında yeterli önlemleri aldığını söylemek çok zor. Çünkü yeni botnet'ler gelmeye devam ediyor.
Bu haftada yayınlanan Akamai internet güvenlik raporuna göre, botnet'ler varlığını sürdürmekle kalmıyor, aynı zamanda daha akıllı ve daha güçlü bir şekilde geliyor. Örneğin, saldırganlar şimdi DNS bilgisini hızla değiştiren Fast Flux DNS kullanıyorlar, böylece onları izlemek çok daha zorlaşıyor.
Geçtiğimiz aylarda Check Point araştırmacıları, IoT cihazlarını Mirai'den daha hızlı bir şekilde ele geçiren "IoTroop" ve "Reaper" olarak bilinen yeni bir botnet keşfettiklerini açıkladı. Araştırmacılara göre saldırı aktif hale geldiğinde, internet dünya çapında kesintiye uğrayabilir.
Mirai’nin bu denli geniş bir kitleye yayılmasında, cihazların fabrika ayarları ile gelen varsayılan kullanıcı adlarını ve şifrelerinin kullanılması neden oldu. Savunmasız cihazlar ele geçirilerek, zararlı yazılımlar bulaştırıldı. Reaper, D-Link, Netgear ve Linksys gibi büyük üreticiler de dahil olmak üzere yaklaşık 120 farklı cihaz üreticisinin en az dokuz farklı güvenlik açığını kullandı.
Botnet neden durdurulamıyor?
Botnet'leri durdurmayı zorlaştıran etkenlerin başında, güvensiz cihazların yaygın olarak kullanılması, piyasaya sürülmesi ve virüs bulaşmış makinelerin internetten tamamen uzaklaştırılmasının imkânsızlığı geliyor. Tüketiciler bir güvenlik kamerası veya ağa bağlı bir cihaz satın almak için bir mağazaya girdiklerinde özellikleri gözden geçiriyorlar, bilindik markaları arıyorlar ve en önemlisi fiyata bakıyorlar. Cihaz güvenliği ve sağladığı standartlar ise nadiren dikkate alınıyor.
Kullanıcılar ucuz ve güvensiz cihazlar satın almaya devam ederken, botnet’e karşı savunmasız ve her an botnet ağının bir parçası olabilecek nokta sayısı da artmaya devam ediyor. Araştırma şirketi Gartner, bu yılın sonuna kadar 8,4 milyar cihazın kullanımda olacağını ve bunun 2020 yılında iki katından 20,4 milyara çıkacağını tahmin ediyor.
Botnet nasıl tespit edilir?
Botnet'ler genelde merkezi bir komut sunucusu tarafından kontrol edilir. Teorik olarak bu sunucu üzerinden virüs bulaşmış cihazları belirlemek ve temizlemek basit bir iş olarak görülse de gerçekte bu hiç de kolay bir şey değildir. Botnet, interneti etkileyecek kadar büyük bir aktivite sergilediğinde, Mirai botneti’nde olduğu gibi ISS'ler olup biteni anlamaya ve trafiği azaltmaya çalışır. Ancak saldırılar spam vb. gibi nispeten küçük olduğunda ISS'ler bu durumda çok fazla ilgilenmeyecektir. Ayrıca botnet trafiğini tespit etmek gerçekten zordur. Tüm bunların yanında operasyonel açıdan, uyum ve gizlilik konuları da söz konusudur. Bir kullanıcı, ağında tek bir bağlantıyı kullanan birden fazla cihaza sahip olabilirken, bir işletmede ya da fabrikada bu sayı yüzlerce hatta binlerce cihaza ulaşabilir. Özetle botnet’ten etkilenen bir cihazı ağ ortamından izole etmenin bir yolu henüz bulunmuyor.
Üstelik botnet’ler kimliğini de gizlemeye çalışıyor. Örneğin, Akamai’nin izlediği bir botnet, şuan Fortune 100 şirketleri ile ilişkili IP adresleri üzerinden çalışıyor gibi görünüyor. Bazı güvenlik firmaları, enfekte olmuş cihazları tanımlamak için altyapı sağlayıcılarıyla birlikte çalışıyor ve enfekte olmuş cihazları belirleyebiliyor. Ancak milyonlara varan cihaz sayısı ve bu cihazların yazılım güncelleme ihtiyacı operasyonel zorlukları da beraberinde getiriyor. Çoğu cihazda, uzaktan sistem yükselme seçeneği bulunmuyor. Konu güvenlik kameralarına geldiğinde uygulama zorluğu daha da ön plana çıkıyor. Örneğin uzak mesafelerde kurulu kameraları tek tek toplamak ve güncellemek oldukça büyük bir iş gücü, zaman ve emek gerektiriyor.
Üstelik kameralar ve diğer cihazlar genellikle virüs bulaştıktan sonra bile çalışmaya devam ettiğinden, kullanıcılar cihazlarını rafa kaldırmak ya da yenisiyle değiştirmek gibi bir eğilime sahip değil. Bant genişliği kullanımından ötürü enfekte cihazlarda görüntü kalitesi biraz düşse de genellikle kabul edilebilir bir seviyede kalıyor.
Tabi bu, kullanıcıların, cihazlarının bir botnet’in parçası olduğunu bildikleri durumlar için geçerli bir senaryo. Yaygın olarak kullanıcılar botnet'in bir parçası olduğunu bilmezler ve botnet faaliyetlerini kişisel ağlarında izlemek için herhangi bir güvenlik denetimi de yoktur.
Tüketicilerle karşılaştırıldığında botnet’lere karşı kurumsal kullanıcıların elinde daha fazla araç var, ancak botnet'leri tespit etmek bir BT departmanının en önemli gündemini oluşturmadığı bir gerçek. Kurumların siber güvenlik ekipleri genellikle, kendi ağlarından kaynaklanan saldırılara değil, kendi kaynaklarını hedef alan dış saldırılara öncelik veriyor.
Botnet'leri kapatma ve yaratıcılarını tutuklama konusunda bazı ilerlemeler kaydediliyor. Örneğin, 2017 yılı baharında, Waledac ve Kelihos spam botnet’lerinin ardındaki isim olduğu iddia edilen korsan Peter "Severa" Levashov'u İspanya’da tatile çıktığı sırada, uluslararası polis ve istihbarat örgütlerinin ortak çalışması sonucunda tutuklandı.
Botnet'in nasıl kurulduğuna bağlı olarak, devredışı bırakmak biraz daha zorlu bir süreç. Örneğin Kelihos botnet’i beş kez devre dışı bırakılmasına rağmen, programcısı serbest olduğu için kesinti sadece birkaç saatle sınırlı kaldı.
Botnet tehlikesinin geliştiğine dair başka bir gelişme olarak, ESET ve Microsoft ile çalışan yetkililer, geçen hafta 1.244 domain, 80 kötü amaçlı yazılım ve ilişkili olarak 464 botneti etkisiz hale getirdi. Siber güvenlik operasyonu, Rusya'da bir kişinin tutuklanmasıyla sonuçlandı.
ESET'e göre, belirli bir grup, 2011 yılından bu yana, Andromeda, Gamarue ve Wauchos olarak bilinen ve ayda 1.1 milyondan fazla sistemi enfekte eden botnetleri darkweb’de sattı. Botnet'in arkasındaki adam olarak "Ar3s" olarak da bilinen Jarets Sergey Grigorevich’in adı geçti. Grigorevich tutuklanmasına rağmen, güvenlik güçleri tarafından kimliği doğrulanmadı.
Kalıcı bir çözüm mümkün mü?
Botnet sorununu tamamen çözmek için teknik zorlukların dışında küresel bir işbirliğine gidilmesi gerekiyor. Küresel bir siber suç sistemi oluşturmanın yanı sıra, üreticilerin IoT cihazlarında belirli bir güvenlik standardının uygulaması da önemli. Ancak uygulamada tüm dünya ülkelerinin ve saldırıdan etkilenen endüstrilerin bir araya gelip ortak bir yaklaşım üzerinde anlaşması oldukça zor.
İnternetin küresel doğasını göz önünde bulundurduğumuzda, ön görülen botnet saldırıları başladığında tüm ağı büyük bir tehlike bekliyor. Botnet’in etkileri sadece enfekte olan cihazları ve günümüzün dijital işletmelerini değil, saldırıların doğası gereği ağ trafiği üzerinden genel olarak interneti kullanan herkesi bir şekilde etkileyecek görünüyor.
Bu Makalenin Yorumları
Yorum Yazın
Yorum Yazın
