Güvenlik araştırmacısı Tobias Scheible, bilgisayar korsanlığı araçları olarak adlandırılan özel olarak geliştirilmiş cihazlarla bilgisayar korsanlığı konusunda uzmandır. Kendisine bu tür donanım saldırılarının tehlikelerini ve bu konuda neler yapılabileceğini anlattık.
c’t: Sunduğumuz bilgisayar korsanlığı araçları gerçek saldırılarda kullanılmıyor mu?
Tobias Scheible: Kesinlikle: Yakın geçmiş, saldırganların bu tür cihazları örneğin fidye yazılımı saldırıları için kullandığını göstermiştir. Amerika Birleşik Devletleri’ndeki FBI, şirketlere hazırlanmış USB bellekler gönderen bir siber suçlu çetesi konusunda uyarıda bulundu. Bir saldırı dalgasında, failler koronavirüs yönergeleriyle uğraşıyormuş gibi davrandılar, bir diğerinde, büyük elektronik perakendecilerinden eşleşen bantlı baskılı ambalajlar ve sahte bir sevk irsaliyesi dahil olmak üzere teslimatları taklit ettiler.
Çubuklar yerleştirildiğinde, bilgisayara bir USB klavye (BadUSB saldırısı) olarak sinyal verirler ve sistemlere şirket verilerini şifreleyen bir cryptotrojan bulaştırırlar. Ayrıca, gazetelerde ve hatta poliste bile keylogger’ların bulunduğuna dair tekrarlanan raporlar var. USB katili, bağlı bilgisayarı dalgalanma ile yok ederek, bir kişi de birçok bilgisayarı sakatladı.
c’t: Kulağa endişe verici geliyor. Bu ne sıklıkla oluyor?
şema: Saldırganlar yalnızca tek bir şirkete veya kişiye saldırdığından, büyük kötü amaçlı yazılım kampanyalarının aksine, bununla ilgili çok az rapor vardır. Bu nedenle gerçek saldırı sayısı tahmin edilemez. Aynı zamanda, pek çok saldırı tespit edilememektedir; örneğin failin, herhangi biri cihazı keşfetmeden belirli bir süre sonra keylogger’ı elinden alması. Bilgisayar korsanlığı araçlarıyla yapılan bildirilmemiş başarılı ve asla fark edilmeyen saldırıların sayısı bu nedenle yüksektir.
c’t: Bilgisayar korsanlığı araçlarıyla, bir düğmeye dokunarak bilgisayar korsanı mı oluyorsunuz yoksa hâlâ belirli bir ön bilgiye mi ihtiyacınız var?
şema: Bu cihazların birçoğunun kullanımı çok kolaydır ve özel bir bilgi gerektirmez. Örneğin bir USB keylogger kolayca takılır ve önceden yapılandırılması veya programlanması gerekmez. Bilgisayarları yok eden USB öldürücüler de aynı kolaylıkla çalışır – fişe takmanız yeterli. Ancak, karmaşık saldırılar gerçekleştirebilen daha karmaşık araçlar da vardır. Bunların özel olarak yapılandırılması gerekir ki bu da belirli bir bilgi ve deneyim gerektirir.
c’t: Gadget’ları hacklemeyi ilk ne zaman öğrendiniz ve bunu ilk kez ne zaman yapıyordunuz?
şema: Offensive Security’nin Peensy projesiyle tanıştığımda 2014 yılı civarında olmalı. Aynı zamanda ABD’de düzenlenen Black Hat konferansında BadUSB konsepti tanıtıldı. Sıradan USB belleklerin belleniminin manipüle edilmesiyle ilgiliydi. “Teensy Sızma Testi Yükü” (Peensy) ile bunu bir Teensy ile de yapabilirsiniz. Teensy, iyi belgelere sahip boyutuna göre çok güçlü bir USB geliştirme kartıdır. Daha sonra öğrencilerle ders anlatırken saldırıyı gerçekleştirdim.
c’t: Herkesin bu cihazları çevrimiçi sipariş edebilmesi bir sorun mu?
şema: Temel olarak evet, ancak burada, BT güvenliğinin diğer alanlarında olduğu gibi aynı ilke geçerlidir. Bu cihazları sipariş etmek bu kadar kolay olmasaydı, hala var olurlardı. O zaman belki kendi kendine montaj için talimatlar şeklinde veya karaborsada ürünler olarak. Özel işlevlerini yalnızca uyarlanmış yazılımla elde eden standart bileşenler de sıklıkla kullanılır. Bu standart bileşenleri hiçbir şekilde yasaklayamazsınız.
Öte yandan, güvenlik yöneticilerinin kendi sistemlerini test etme fırsatına sahip olmaları her zaman önemlidir. Satış yasaklanırsa, saldırganların hala bir şansı olur, ancak diğer taraftaki sistemlerini korumak isteyen ve korumak zorunda olan kişilerin şansı olmaz. Fiziksel dünyada bile birçok örnek, yasağın güvenliği artırmadığını göstermiştir.
c’t: Yani, şüpheye düştüğünüzde, kendinizi bilgisayar korsanlığı cihazlarına istemeden alıştırmaya hazır olmalısınız?
şema: Şimdiye kadar bilinen vakalar, iç faillerin sıklıkla bu hackleme cihazlarını kullandığını gösteriyor. Bu, örneğin saldırganların cihazları bir bilgisayara bağlamak için düşük ücretli temizlik personeli gibi dışarıdan personel kiraladığı anlamına gelir. Ya da eski çalışanlar ya da hüsrana uğramış çalışanlar intikam almak ya da bilgileri gözetleyerek avantaj sağlamaya çalışmak için bilgisayar korsanlığı araçlarını kullanıyor.
Ve bu cihazların çoğunun kullanımı çok kolay olduğu için, herkes bunları saldırmak için kullanabilir. Bu nedenle, hemen hemen her işletme için bilgisayar korsanlığı cihazlarıyla saldırıya uğrayabileceği bazı senaryolar vardır.
Haberin Sonu
c’t: Sunduğumuz bilgisayar korsanlığı araçları gerçek saldırılarda kullanılmıyor mu?
Tobias Scheible: Kesinlikle: Yakın geçmiş, saldırganların bu tür cihazları örneğin fidye yazılımı saldırıları için kullandığını göstermiştir. Amerika Birleşik Devletleri’ndeki FBI, şirketlere hazırlanmış USB bellekler gönderen bir siber suçlu çetesi konusunda uyarıda bulundu. Bir saldırı dalgasında, failler koronavirüs yönergeleriyle uğraşıyormuş gibi davrandılar, bir diğerinde, büyük elektronik perakendecilerinden eşleşen bantlı baskılı ambalajlar ve sahte bir sevk irsaliyesi dahil olmak üzere teslimatları taklit ettiler.
Çubuklar yerleştirildiğinde, bilgisayara bir USB klavye (BadUSB saldırısı) olarak sinyal verirler ve sistemlere şirket verilerini şifreleyen bir cryptotrojan bulaştırırlar. Ayrıca, gazetelerde ve hatta poliste bile keylogger’ların bulunduğuna dair tekrarlanan raporlar var. USB katili, bağlı bilgisayarı dalgalanma ile yok ederek, bir kişi de birçok bilgisayarı sakatladı.
c’t: Kulağa endişe verici geliyor. Bu ne sıklıkla oluyor?
şema: Saldırganlar yalnızca tek bir şirkete veya kişiye saldırdığından, büyük kötü amaçlı yazılım kampanyalarının aksine, bununla ilgili çok az rapor vardır. Bu nedenle gerçek saldırı sayısı tahmin edilemez. Aynı zamanda, pek çok saldırı tespit edilememektedir; örneğin failin, herhangi biri cihazı keşfetmeden belirli bir süre sonra keylogger’ı elinden alması. Bilgisayar korsanlığı araçlarıyla yapılan bildirilmemiş başarılı ve asla fark edilmeyen saldırıların sayısı bu nedenle yüksektir.
c’t: Bilgisayar korsanlığı araçlarıyla, bir düğmeye dokunarak bilgisayar korsanı mı oluyorsunuz yoksa hâlâ belirli bir ön bilgiye mi ihtiyacınız var?
şema: Bu cihazların birçoğunun kullanımı çok kolaydır ve özel bir bilgi gerektirmez. Örneğin bir USB keylogger kolayca takılır ve önceden yapılandırılması veya programlanması gerekmez. Bilgisayarları yok eden USB öldürücüler de aynı kolaylıkla çalışır – fişe takmanız yeterli. Ancak, karmaşık saldırılar gerçekleştirebilen daha karmaşık araçlar da vardır. Bunların özel olarak yapılandırılması gerekir ki bu da belirli bir bilgi ve deneyim gerektirir.
c’t: Gadget’ları hacklemeyi ilk ne zaman öğrendiniz ve bunu ilk kez ne zaman yapıyordunuz?
şema: Offensive Security’nin Peensy projesiyle tanıştığımda 2014 yılı civarında olmalı. Aynı zamanda ABD’de düzenlenen Black Hat konferansında BadUSB konsepti tanıtıldı. Sıradan USB belleklerin belleniminin manipüle edilmesiyle ilgiliydi. “Teensy Sızma Testi Yükü” (Peensy) ile bunu bir Teensy ile de yapabilirsiniz. Teensy, iyi belgelere sahip boyutuna göre çok güçlü bir USB geliştirme kartıdır. Daha sonra öğrencilerle ders anlatırken saldırıyı gerçekleştirdim.
c’t: Herkesin bu cihazları çevrimiçi sipariş edebilmesi bir sorun mu?
şema: Temel olarak evet, ancak burada, BT güvenliğinin diğer alanlarında olduğu gibi aynı ilke geçerlidir. Bu cihazları sipariş etmek bu kadar kolay olmasaydı, hala var olurlardı. O zaman belki kendi kendine montaj için talimatlar şeklinde veya karaborsada ürünler olarak. Özel işlevlerini yalnızca uyarlanmış yazılımla elde eden standart bileşenler de sıklıkla kullanılır. Bu standart bileşenleri hiçbir şekilde yasaklayamazsınız.
Öte yandan, güvenlik yöneticilerinin kendi sistemlerini test etme fırsatına sahip olmaları her zaman önemlidir. Satış yasaklanırsa, saldırganların hala bir şansı olur, ancak diğer taraftaki sistemlerini korumak isteyen ve korumak zorunda olan kişilerin şansı olmaz. Fiziksel dünyada bile birçok örnek, yasağın güvenliği artırmadığını göstermiştir.
c’t: Yani, şüpheye düştüğünüzde, kendinizi bilgisayar korsanlığı cihazlarına istemeden alıştırmaya hazır olmalısınız?
şema: Şimdiye kadar bilinen vakalar, iç faillerin sıklıkla bu hackleme cihazlarını kullandığını gösteriyor. Bu, örneğin saldırganların cihazları bir bilgisayara bağlamak için düşük ücretli temizlik personeli gibi dışarıdan personel kiraladığı anlamına gelir. Ya da eski çalışanlar ya da hüsrana uğramış çalışanlar intikam almak ya da bilgileri gözetleyerek avantaj sağlamaya çalışmak için bilgisayar korsanlığı araçlarını kullanıyor.
Ve bu cihazların çoğunun kullanımı çok kolay olduğu için, herkes bunları saldırmak için kullanabilir. Bu nedenle, hemen hemen her işletme için bilgisayar korsanlığı cihazlarıyla saldırıya uğrayabileceği bazı senaryolar vardır.
Haberin Sonu