Hacker'ların oyununa gelmemek için 8 önemli madde!
Bilgisayardaki verileri şifreleyip 300 dolar isteyen Wannacry gibi saldırı ve saldırganlardan korunma yöntemleri ve saldırı hakkındaki son gelişmeler bu yazıda
12 Mayıs 2017 Cuma günü akşam saatlerinde başlayan WCry nam-ı diğer WannaCry kasırga gibi ilerleyerek başta Rusya başta olmak üzere 74 ülkede 70 binden fazla bilgisayarı, daha sonra ise Çin, Amerika, İspanya'nın da dahil olduğu 150'den fazla ülkeye yayılarak 100 binlerce bilgisayarı etkiledi.
Fidye yazılımı siber saldırısı sonucunda İngiltere Ulusal Sağlık Sistemi (NHS) büyük yara aldı. Hatta saldırının kurumda yol açtığı gerçek yıkımın ortaya çıkması için halen zaman var.
Söz konusu fidye yazılımı, kurbanlarına Microsoft Windows’ta bulunan ve Microsoft Güvenlik Bülteni MS MS17-010 kapsamında tanımlanıp kapatılmış olan bir güvenlik açığından faydalanarak bulaşıyor. Kullanılan “Eternal Blue” adlı exploit*, 14 Nisan’da Shadowbrokers veri dökümünde ortaya çıkarılmıştı.
Saldırganlar sisteme girdikten sonra bir kök kullanıcı takımı (rootkit) kurarak, verileri şifreleyecek olan yazılımı indiriyor. Zararlı yazılım dosyaları şifreledikten sonra 300 ABD Doları değerinde Bitcoin ödemesi talebi ve miktarın yatırılacağı sanal cüzdan bilgileriyle birlikte ekranda gösteriliyor. Talep edilen fidye miktarı ise benzeri fidye yazılımlarında olduğu üzere zaman geçtikçe artacak şekilde ayarlanmış.
Wannacry fidye yazılım saldırısından etkilenenler aslında 17 Mart’ta Microsoft’un yayınladığı kritik Windows güncellemesini yapmış olsalardı bu sorunu yaşamayacaklardı. (Gerçi İngiltere sağlık sisteminde çok sayıdaki desteği sonlanan 16 senelik Windows XP için yapacak çok şey yoktu)
Ağlamak istiyorum(!)-Wannacry adlı son saldırıdan etkilendiniz mi bilmiyoruz ama bu tip saldırılara karşı temelde nasıl korunabileceğinizi aşağıda sizler için sıraladık.
Eski bir işletim sistemi kullanıyorsanız güncel işletim sistemlerinden birine geçmeyi tercih edin. Veya Windows 7-8-10 gibi güncel işletim sistemlerinden birini kullanıyorsanız güncellemeleri mutlaka ama mutlaka uygulayın. Eğer bir Mac OS kullanıcısıysanız bu tip saldırılar sizi istatiksel olarak çok ilgilendirmiyor. Mac OS kullanıcılarının neredeyse tamamı güvenlik yazılımı kullanmıyor. Ancak bu sistemi ve porgramları güncellemeniz gerekliliğini değiştirmiyor.
1. Oynadığınız oyun veya kullandığınız programların da güncellemelerini takip edin. Bilindiği üzere Playstation 3 uzun süre kırılamamış ancak daha sonra bir oyunun arka kapısını kullanarak sisteme sızılmış ve sistem kırılmıştı. İnternete açılan sistemlerde güncellemediğiniz her popüler uygulama tahmin edemeyeceğiniz açık kapılara yol açabilir.
Fidye yazılımları 3-4 senedir bu taktiği kullanıyor olsa da virüsler uzun zamandır aynı taktiği kullanıyor. Nedir o taktik? E-postanıza ekte gelen ve “ödenmemiş faturanız var”, “bu güzelle tanışmak istemez misin?”, “Kate Upton’ın çıplak fotoğrafları”, “bu belgeyi okuyup 20 kişiye yollamazsan lanet senin üzerine olur” gibi birbirinden ilginç ve sosyal mühendislik ürünü fotoğraf, doküman, video veya e-fatura gibi dosyalar. Bu tür dosyaları güvenlik taramasından geçirmeden açmayın. Kaynağından emin olmadığınız e-postalardaki dosyaları asla açmayın. Maalesef ülkemiz dahil olmak üzere dünyadaki en başarılı saldırıların temelinde bu tip dosyaların açılarak sistemlerin enfekte olması var diyebiliriz.
1. Bir önceki maddede belirttiğimiz ekli dosyalardan daha büyük bir tehdit ise benzer şekilde bilgisayarınıza eskiden e-postayla gelen, bugün ise aklınıza gelebilecek WhatsApp, Messenger, BiP ve benzeri mesajlaşma uygulamalarından telefonunuza veya bilgisayarınıza gelebilecek şüpheli bağlantılar. Gelen e-postanın gerçek kimliğini mutlaka denetleyin ve gelen bağlantıları direkt açmayın. Şüphede olduğunuz bağlantıyı kopyalayın ve Antivirüs yazılımınızın güvenlik eklentisinin aktif olduğu bir tarayıcıda adres satırına yapıştırarak kontrollü olarak açın. Doğrudan açılan bağlantılar sistemlerin gafil avlanmasını ve bilgilerinizin ele geçmesine neden olur.
1. Twitter, Facebook, Instagram, Snapchat ve Linkedin gibi sosyal medya hesaplarınızı sadece arkadaşlarınıza açık tutun ve arkadaşlarınızı kabul ederken titiz davranın. Tanımadığınız kişilere kısıtlama getirin. Herkese açık olan hesaplar üzerinden sosyal mühendislik ile başınızı kısa zamanda derde sokabilirsiniz. Siber anlamda güvenlik için bu hesaplardaki şifrelerinizi iki aşamalı yetkilendirme ile güvende tutun, şifrenizi periyodik olarak değiştirin. Sosyal medyadaki arkadaşlarınızdan gelen kontör, para ve benzeri isteklerde aşırı şüpheci davranın ve arkadaşınıza varsa alternatif yollardan ulaşmaya çalışın. Arkadaşınız bile olsa bu uygulamalardan gelen dosyaları güvenli sistemlerde açın. Bir fotoğraf ile bilgisayarınızın kontrolünü ve bilgilerinizi başkalarına farkında olmadan devretmeyin.
Sadece bilgisayarlarda mı güvenliğimize dikkat etmeliyiz? Elbette hayır. Cep telefonları akıllandığından bu yana en büyük tehditler için en ideal ikinci adres ve hatta birinci adres diyebiliriz. Android kullanıcısıysanız sadece Google Play’den indirdiğiniz veya Samsung ve LG markaların telefonla birlikte gelen uygulama mağazalarından program indirin. Başka kaynaklardan indirdiğiniz veya farklı uygulamaları ücretsiz kullanmak için kırarak kullandığınız her uygulama arka planda size düşman olarak çalışıyor olabilir ve kişisel bilgilerinizin yanı sıra banka hesap bilgilerinizi paylaşıyor olabilir. Eğer iPhone kullanıcısıysanız Jailbreak ile cihazınızı kırmadığınız takdirde AppStore’dan uygulamaları indirerek güvencede olabilirsiniz. Android tarafında hangi uygulamalara neler için izin verdiğinize de dikkat etmenizde fayda var. Misal bir el feneri uygulaması kişisel bilgilerinize, video ve fotoğraflarınıza erişmek istiyorsa şüphelenmek için yeterli nedeniniz var demektir.
1. Banka, e-ticaret siteleri ve belki de en önemlisi e-devlet sitelerini açtığınızda adres satırındaki güvenlik bildirimlerine dikkat edin. Örneğin İş Bankası’nın sitesine mailinizden gelen bir bağlantıyla gittiğinizde adres satırında isbank.com yerine isbanka.com yazıp yazmadığına ve HTTPS ile bağlandığınızdan emin olun.
1. Fidye yazılımlarının bilgisayarınızı kilitlemesinin değil de verilerinizi şifrelemesinden dolayı daha büyük bir güç elde ettiğini unutmayın. Yani Windows’unuzu formatlamak şifrelenmiş dosyalarınızı kurtarmayacağı için tüm verilerinizden olabilirsiniz. Bu sebeple önemli verilerinizi mutlaka farklı medyalara (DVD, harici disk veya buluta) yedekleyin.
Wannacry fidye yazılım saldırısıyla ilgili olarak görüşünü aldığımız Innovera Genel Müdürü Gökhan Say yaptığı açıklamada kullanıcılara hem tavsiyede bulundu hem de yaşanan saldırının ilginç noktalarına değindi.
“Uzun zamandır adım adım yaklaşan böyle bir saldırı bekleniyordu. Saldırının tüm farklı adımlarını daha önce başka saldırıların parçası olarak görmüştük ama bu şekilde tüm adımların birleştirildiği bir saldırı daha önce görülmemişti."
"Saldırının dünya çapında bu kadar hızlı yayılmasında kullanılan yöntemi de çok ilginç buluyoruz. Saldırganlar kısa bir süre önce Amerikan Ulusal Güvenlik Ajansı (NSA)'den sızdırılan bir saldırı tekniğinden faydalanıyorlar. NSA, tekniği bir süre önce keşfetmiş ve gizli sızma/izleme operasyonlarında da kullanmış."
"Bu türden saldırılar yalnızca fidye için kullanıldığında bile manşetlere çıkıyor ancak devletlerin birbirine üstünlük kurmaya çalıştığı daha sessiz ve derinden işleyen türevlerini görmeyi de sürdüreceğiz."
"Kuruluşlar hep yeni güvenlik teknolojileri almak ve kullanmak yerine 5 temel güvenlik kontrolünü (sürekli yamalama/güncelleme, kişisel güvenlik duvarı kullanma, antivirüs kullanma, güvenlik açıklarını sürekli tarama ve veri yedeklemesi) etkin uygulamaya başlarsa bu tür saldırılardan çok daha az etkileneceğiz." Say'ın açıklamalarının yanı sıra birçok güvenlik firmasından açıklamalar geldi.
Bunlardan biri de Kaspersky Lab oldu. Kaspersky Lab uzmanları bir taraftan mümkün olan en kısa sürede bir şifre çözme aracı geliştirmek adına, saldırı esnasında şifrelenerek kilitlenen verileri deşifre etmenin mümkün olup olmadığını tespit etme çalışmalarına devam ediyor. Şirket zararlı yazılımın bulaşma riskini azaltmak için aşağıdaki önemlerin alınmasını öneriyor:
Saldırıda kullanılan güvenlik açığını kapatmak üzere Microsoft’un sunduğu resmi yamayı yükleyin.
Tüm ağ düğümlerinde güvenlik güvenlik çözümlerinin aktif olduğundan emin olun.
Kaspersky Lab’ın çözümü kullanılıyorsa, davranışsal proaktif bir tespit bileşeni olan Sistem İzleyici modülünü içerdiğinden ve çalışır halde olduğundan emin olun.
MEM: Trojan.Win64.EquationDrug.gen’i saptadıktan sonra sistemi yeniden başlatın.
Müşteriye Özel Tehdit İstihbaratı Raporlaması hizmetlerini kullanın
1. Tavsiyelere kulak vererek, öncelikle karşımıza çıkan her bağlantıya kesinlikle tıklamamaya kendimizi alıştırmalıyız.