Siber Güvenlik: “Bir Tedarik Zinciri Saldırısı” ve Çıkarılan Dersler

Çok olmadı; 2020 yılının sonlarına doğruydu, siber uzayda tek bir hedefin ele geçirilmesiyle binlerce hedefe ulaşılabileceğinin neredeyse en çarpıcı örneğini gördük. SolarWinds firmasına ait yazılım güncelleme sunucusun, bilgisayar korsanları tarafından kötücül bir yazılım (malware) ile buluşturulması, sadece Amerika’da değil sözkonusu firmanın ürünlerini kullanmakta olan pek çok ülkedeki pek çok firmada da tam bir karmaşaya yol açtı. SolarWinds ürünlerini kullanan ve güncel yamalarını indiren pek çok kuruluş farklı isimlerdeki benzer kötücül yazılımlarla karşılaştı: Sunburst, Sunspot, Teardrop, Raindrop, Supernova, Cosmicgale, bu adlardan bazılarıydı. Kötücül yazılım bulaştırılan güncelleme sunucusundan yama indirenler, gerçekte farkında olmadan arkakapı (backdoor) güncellemesi indirdirmiş oldular.

Saldırı yöntemi, siber güvenlik dilinde ürün sağlama ya da tedarik zinciri saldırısı (supply chain attack) olarak tanımlanmakta. Saldırı sonrası, SolarWinds firmasının 18,000’e yakın müşterisi etkilendi. Müşterileri arasında, büyük bilişim firmalarının yanısıra önemli devlet kuruluşları da vardı. SolarWinds ürünlerinin önemli alıcılarından biri de siber güvenlik firmalarıydı. Sorun olduğunun anlaşılması da yine bu güvenlik firmalarından birinde çalışan bir uzmanın sistemdeki iki aşamalı parolasını değiştirmek istemesiyle ortaya çıktı; sonuçta, kötücül yazılımın bulaştığı dizgede parolasını değiştiremedi. 13 Aralık 2020 tarihi SolarWinds olayının kamuoyu ile paylaşıldığı tarih olabilir; ama bu olayın çok daha önceden başlatıldığı daha sonra anlaşıldı. Sorunun farkına varılması ise tam 8 ayı buldu. Olayın arkasında, Rus kökenli siber korsanların olduğu, kötücül yazılımın SolarWinds sunucusuna Mart ve Haziran 2020 tarihlerinde yüklendiği söylendi.

Bulaş alan sunucudan güncelleme indirenler gerçekte bir Gelişmiş Kalıcı Tehdit (Advanced Persistent Threat: APT) indirmiş oldular. Kötücül yazılım, karmaşıktı; iki hafta uykuda kalmış, bu tür saldırılara karşı kuruluşlarda konumlandırılan tehdit yalıtma aygıtlarına (sandbox) takılmamıştı. Hedef sunucuya bulaştıktan belli bir süre sonra komuta ve denetim merkezi ile bağlantı kuran yazılım, bulaştığı sistemdeki hesap bilgilerini toplamaya ve merkeze iletmeye başlıyacaktı.

Neden SolarWinds hedef alınmıştı? Kısaca bunu irdeleyelim. Öncelikle SolarWinds firmasının genelağ sayfasında yer alan ürün dizelgesine göz atalım: Dizelgede, Ağ Güvenliği, Sistem Yönetimi, Veritabanı Yönetimi, Bilişim Teknolojileri Güvenliği, Bilişim Teknolojileri Servis Yönetimi, Uygulama Yönetimi, Yönetilen Hizmet Sağlayıcılığı (uzaktan izleme, uzaktan destek v.b.) ürünleri görülmekte. Firmanın Ağ, İşletim ve Güvenlik ürünlerinin biraraya getirildiği ortamın adı: ORION. Firmanın bu ürünün tanıtımı için kullandığı reklam sözü ise şöyle: Tek Satıcı, Tek Ortam. Kötücül yazılımın bulaştığı kuruluşlarda kullanılan izleme ve yönetim amaçlı ürünleri göz önünde bulundurduğumuzda; olayın, bir siber savaştan öte bir siber haberalma (casusluk/istihbarat toplama) konusu olabileceği akla daha yakın görünüyor.

Gelelim bu olayın başlangıç noktasına: Öncelikle, 19 Kasım 2019’da, Vinoth Kumar adlı bir güvenlik uzmanının güncelleme sunucusuna erişebildiği ve bunu da SolarWinds firmasına bildirdiği bilgisi Reuters’in haberlerine de yansımış. Vinoth Kumar’ın Twitter iletileri arasında da güncelleme sunucusuna yapılan görüntüleri alınmış erişimler görülmekte. Sıkı durun şimdi, o görüntülerde güncelleme sunucusunun o tarihlerdeki parolası, solarwinds123 olarak görünüyor. Doğaldır ki, Vinoth Kumar’ın bulduğu açığı başkaları da görebiliyor olmalı.

SolarWinds’e yapılan saldırının küresel anlamda etkileri ve zararları konusunda kesin birşey söylemek şu an için bile çok zor. Kötücül yazılımın indirildiği sunucularda ve ağlarda ne kadar bir süre sonra, nelerle karşılaşılacağı da belli değil. Bunları belirlemek epey zaman alacak; öyle görünüyor. Ancak yine de bu örnekten yola çıkarak alınabilecek önlemler konusunda güvenliğin nerdeyse temelleri diyebileceğimiz ilkeleri tekrar anımsamakta yarar var:

  • Kolay tahmin edilebilecek parolaları kullanmamak.
  • Parolaları sık ve düzenli olarak değiştirmek, (bunun için parola yönetim yazılımları kullanılabilir).
  • Parolaları, süreleri hiç dolmayacak şekilde tanımlamamak.
  • Parolaları başkalarıyla paylaşmamak.
  • Yazılım ve donanımlarla gelen fabrika çıkışlı parolaları değiştirmek.
  • Bir güvenlik doğrulamasıyla yetinmeyip, iki aşamalı kimlik doğrulama yöntemlerini kullanmak (bunun için tek seferlik parola: OTP-One Time Password ya da biyometrik araçlar: parmakizi veya iris tarama gibi yöntemler kullanılabilir).
  • Aynı parolaları başka hesaplarda kullanmamak.
  • E-postalarla gelen bağlantıları doğrudan açmamak,
  • Güvenilmeyen kaynaklardan dağıtımı yapılan uygulamaların kuruluşlarını yapmamak.
  • Ağdaki olağandışı hareketleri düzenli olarak gözlemlemek.
  • Kullanıcı yetkilerinini düzenli olarak gözden geçirmek.

Siber güvenli günler dileğiyle…

Ahmet PEKEL

Yayın Kurulu Başkanı

 

 

 

 

 

 

 

 

Önceki Başyazı (Mayıs Sayısı)
Sonraki Sunuş (Temmuz Sayısı)

Benzer Yazılar