Sıfırın da bir değeri var: Zero-day nedir? Nasıl istismar edilir?
Genel anlamda siber güvenlik konusunda kendini geliştirmeye çalışanların sıkça sorduğu
konular arasında “Zero-day (0-day) açıkları” yer alıyor.
Bu yazıda da bu ihtiyaca karşılık verebilmek amacıyla Zero-day
nedir?, Zero-day istismarı nedir?
Zero-day nasıl tespit
edilir? gibi soruları ele alıyoruz.
ZERO-DAY (0-DAY) ZAFİYETİ NEDİR?
Üç katlı bir bina inşa ettiğinizi varsayalım. Tüm işlemleri
bitmiş bir evde sıcak sıcak
oturuyorsunuz. Ancak ikinci
katınızda bulunan bir odanın camında bulunan ufak bir delikten
içeriye
rüzgar giriyor ve siz, evi inşa eden kişi olarak bu durumdan
haberdar değilsiniz.
Zero-day açıkları da bu durumla benzerlik taşır. İşletim
sistemleri, yazılım, donanım, web
tarayıcısı, ofis
uygulaması, açık kaynaklı girişim ve IoT geliştiricilerinin,
kendilerinin dahi
önceden bilmediği açıklara “Zero-day
(0-day/Sıfırıncı gün) güvenlik açıkları” denir. Zero-day
açıkları,
çoğu durumda herhangi bir saldırı gerçekleşene kadar tespit etmesi
zor olan
zafiyetlerdir.
ZERO-DAY GÜVENLİK AÇIĞI İSTİSMARI
NEDİR?
Camdaki bir delik değil de pencere kolunun neredeyse açılacak
düzeyde olduğunu düşünün.
İkinci kata pek uğramadığınız için
bu durumun farkında değilsiniz. Dışarıdan tespit etmesi
de
zor muhakkak. Ancak varsayalım dışarıdan bir hırsız, bu durumu
fark etti ve ikinci katın
bir odasının penceresinden içeriye
girmenin yollarını aramaya koyuldu.
Zero-day istismarı (exploit) da daha önce tanımlanmamış,
kaydedilmemiş ya da fark
edilmemiş bir güvenlik açığına sahip
sistemlere girebilmek veya saldırabilmek için kullanılan
yönteme
verilen isimdir. Bunun için genellikle sosyal mühendislik
e-postaları aracılığıyla yapılır.
Çoğu durumda bilinen veya
tanıdık bir kişiden geliyormuş izlenimi veren sahte e-postalar
içerisine
çeşitli web sitesi adresleri konur. Eğer kurban, istenilen tuzağa
düşerse, zararlı
yazılım söz konusu cihaza yüklenmiş olur. Bu
yol vasıtasıyla tehdit aktörleri, sistemlere
sızmaya
çalışır.
ZERO-DAY SALDIRISI NEDİR?
Hırsız, siz evde yokken pencerenizden içeri girdi , değerli olan
eşyalarınızı çaldı veya akla
gelebilecek farklı bir hasar
verdi.
Benzer şekilde zero-day saldırılarının işleyişi de bu şekilde
gerçekleşir. Açığı istismar ederek
sistemlere giriş yapan
tehdit aktörleri, giriş yaptığı sistemden veri çalabilir veya
başka bir
şekilde hasara neden olabilir. Böylelikle zero-day
saldırıları gerçekleşmiş olur.
Genel bir özet çıkarırsak süreç şöyle işler:
-
Bir şirketin veya herhangi bir kurumun/kuruluşun
geliştiricileri yazılım oluşturur, ancak
bir güvenlik açığı içerdiğinden habersizdirler. -
Tehdit aktörü, bu güvenlik açığını geliştiriciden önce tespit
eder veya geliştirici düzeltme
şansı bulmadan önce harekete geçer. -
Saldırgan, güvenlik açığı kullanılabilir durumdayken istismar
kodunu (exploit code) yazar
ve uygular. -
İstismarı serbest bıraktıktan sonra, insanlar bunu kimlik veya
bilgi hırsızlığı şeklinde tanır.
Geliştiriciler bu durumu fark eder ve açığı kapatırlar.
KİMLER ZERO-DAY SALDIRILARI
GERÇEKLEŞTİRİYOR VE HEDEFLERİ
NELER?
Zero-day saldırılarını kimin gerçekleştirdiğinden ziyade hangi
motivasyonlarla
gerçekleştirildiği daha açıklayıcı olabilir.
Bu anlamda bu saldırıları gerçekleştiren aktörler
arasında
siyasi motivasyonla hareket eden devlet destekli veya desteksiz
aktörler, finansal
motivasyonla hareket eden tehdit
aktörleri, sosyal konulara dikkat çekmeye çalışan
hacktivistler,
şirketler arasında bilgi çalmaya çalışan kurumsal aktörler yer
alıyor.
Farklı motivasyonlarla hareket eden aktörlerin hedefleri de bu
anlamda farklılaşıyor. Devlet
sistemleri, siyasi figürler,
şirketler, büyük/küçük işletmeler kurbanlar arasında yer alırken
çeşitli
donanım aygıtları, yazılımlar, IoT, kişisel veriler,
söz konusu aktörlerin hedefledikleri arasında
bulunuyor.
ZERO-DAY SALDIRILARI NASIL
TESPİT EDİLİR?
Zero-day zafiyetlerinin çok çeşitli sebepleri olabilir. Veri
şifrelemeden parola güvenliğine,
hatalı algoritmalardan
yetkilendirmelere dek geniş bir yelpazede bulunabileceği için
keşfedilmesi
oldukça zordur. Bu sebeple çoğu durumda zero-dayler, istismar
edildikten
sonra güncelleştirmeler veya yamalarla
kapatılıyor.
İnternet trafiğini taramak, gelen dosyaların kodlarını incelemek
ve zararlı yazılım
yöntemlerinden yararlanmak da dahil olmak
üzere, zero-day güvenlik açıklarını tespit
etmenin çeşitli
teknik yolları vardır.
ZERO-DAY AÇIKLARINA ÖRNEKLER
2020: Zoom
Popüler video konferans platformunda bir güvenlik açığı bulundu.
Bu zero-day saldırısı
örneğinde, siber tehdit unsurları,
Windows’un eski bir sürümünü kullanan kullanıcıların
bilgisayarlarına
uzaktan erişebilmeyi başarmıştı.
2020: Apple iOS
2020 yılında, saldırganların iPhone’ları uzaktan ele geçirmesine
olanak sağlayan zero-day
hatası da dahil olmak üzere en az
iki iOS zero-day zafiyeti ortaya çıktı.
2019: Microsoft Windows, Doğu Avrupa
Yerel yükseltme ayrıcalıklarına ve Microsoft Windows’un
savunmasız bir kısmına odaklanan
bu saldırıda Doğu
Avrupa’daki devlet kurumları hedef alındı. Zero-day istismarı,
Microsoft
Windows’ta rasgele kod çalıştırmak, uygulamaları
yüklemek ve güvenliği aşılmış
uygulamalardaki verileri
görüntülemek ve değiştirmek için bir yerel ayrıcalık zafiyetini
kullandı.
2017: Microsoft Word
Zero-day istismarıyla kişisel banka hesap bilgileri ele
geçirildi. Kurbanlar, farkında olmadan
kötü amaçlı bir Word
belgesini açtılar. Belgede, kullanıcılardan başka bir programdan
harici
erişim talep eden bir açılır pencere gösteren bir
“uzak içerik yükle” istemi görüntüleniyordu.
Kurbanlar “evet”
seçeneğine tıkladığında, bankacılık oturum açma kimlik
bilgilerini
kaydedebilen kötü amaçlı yazılım cihaza
yükleniyordu.
STUXNET
Zero-day saldırısının en ünlü örneklerinden biri de Stuxnet’ti.
İlk olarak 2010 yılında keşfedilen
ancak kökleri 2005’e kadar
giden bu kötü amaçlı bilgisayar solucanı, programlanabilir
mantıksal
denetleyici (PLC) yazılımı çalıştıran üretim bilgisayarlarını
etkiledi.
Başlıca hedefi, ülkenin nükleer programına zarar vermek için
İran’ın uranyum zenginleştirme
santralleri oldu. Solucan,
PLC’lere Siemens Step7 yazılımındaki güvenlik açıklarıyla
sızarak
PLC’lerin montaj hattı makinelerinde beklenmeyen
komutlar gerçekleştirmelerine yol açtı.
Stuxnet’in hikayesi
daha sonra Zero Days adlı bir belgesele konu oldu.