ILOVEYOU: Herkesi seven virüs

22 yıl öncesinin en kötü şöhretli virüslerinden biri olan ILOVEYOU solucanının hikayesini hatırlıyoruz.

2000 yılının Mayıs ayına doğru bir yolculuğa çıkalım. Ofiste sıradan bir gün. İş bilgisayarınızı açıyor, internete bağlanıyor ve Microsoft Outlook istemcisindeki son gelen e-postayı indiriyorsunuz. Konu satırında tuhaf bir mesaj dikkatinizi çekiyor: “ILOVEYOU.” Tanıdığınız biri size olan aşkını itiraf ediyor. Belki okuldan bir arkadaşınız. Bir dakika, hayır! Daha da iyisi; yaşça sizden büyük müdürünüz.

Kim olursa olsun kesinlikle dikkatinizi çekecek biri, dolayısıyla ekteki “LOVE-LETTER-FOR-YOU.TXT.VBS” adlı dosyaya tıklıyorsunuz ve… Hiçbir şey olmuyor. Ancak bir süre sonra sabit diskinizdeki önemli dosyaların onarılmaz şekilde bozulduğunu ve adres defterinizdeki herkese sizin adınıza benzer aşk mektupları gönderildiğini fark ediyorsunuz.

ILOVEYOU solucanı içeren bir mesaj örneği

Eski Microsoft e-posta istemcisinde ILOVEYOU solucanı içeren bir e-posta böyle görünüyordu. Kaynak

 

ILOVEYOU, Microsoft e-posta istemcisindeki bir deliği kötüye kullanan ilk kötü amaçlı yazılım olmasa da kesinlikle yeni milenyumun başındaki en ciddi virüs salgınlarından birini başlattı. Gelin birlikte tarihçesine bakalım ve bilgisayar sistemi güvenliği algımızı nasıl değiştirdiğini konuşalım.

Bağlam: İnternet en son trend teknoloji

Yıl, 2000. 2022’den bakıldığında neredeyse tarih öncesi zamanlar gibi geliyor. Günümüzde o zamanlardaki web sitelerinin arşivlenmiş kopyalarına bakabilir veya dolaptan eski Windows 98 dizüstü bilgisayarınızı çıkarıp o günlerde hangi programları kullandığımızı hatırlayabilirsiniz. Taş devri gibi, değil mi? Aslına bakarsanız değil. Elbette milenyumun başındaki teknoloji günümüz standartlarına göre daha ilkeldi. Kullanıcıların çoğu internete modemle bağlanıyordu ve internet hızı korkunç derecede yavaştı. Fakat neredeyse tüm modern ağ hizmetlerinin prototipleri o günlerde de mevcuttu.

Video akışı yoktu ama radyo akışı vardı. Çok çeşitli çevrimiçi mesajlaşma uygulamaları vardı. Mağazayı telefonla aramak çoğunlukla bir web sitesinden sipariş vermekten daha kolay olsa da çevrimiçi ticaret müthiş bir hızla gelişiyordu.

2000 yılında genel olarak “e-” ile başlayan (yani, elektronik!) her türlü ağ teknolojisi veya servis büyük ilgi ve yatırım topluyordu. 2001’de birçok internet start-up’ı battığında biraz hayal kırıklığı yaşandı. Sektör yenilikten gelen heyecanını kaybetti ama daha mantıklı hale geldi.

O zamanlar internetin halihazırda ne kadar yaygın olduğunu anlamak için yarı romantik komedi, yarı o zamanların devi America Online’ın reklamı olan 1998 yapımı popüler Mesajınız Var filmine bakabiliriz.

1990’ların sonunda internetin artık ayrıcalıklı kişilere özgü bir yer olmadığını anlamak hikayemiz için önemli. 2000 yılına yüz milyonlarca insan internete giriyordu. Hal böyleyken e-posta hem birçok şirkette ve devlet kurumunda hem de sıradan ev kullanıcıları tarafından kullanılan önemli bir iletişim ve işbirliği aracı haline gelmişti.

Fakat 2000’in Mayıs ayında, çok sonrasında popülerleşen deyimle bu “dijital dönüşüm”, ILOVEYOU virüsü salgınıyla aniden kesintiye uğradı. Birçok şirket, on binlerce aşk mesajıyla başa çıkamayan e-posta sunucularını geçici olarak kapatmak zorunda kaldı.

Bir öncekiler: Concept.B ve Melissa

Esasında ILOVEYOU bir ağ solucanı olarak sınıflandırılmalı çünkü kendini ağ üzerinden yayan bir kötü amaçlı program. ILOVEYOU’nun bir diğer önemli özelliği de ilk virüsün basit bir VBscript programıyla yapılmış olması. VBscript ise daha da eski bir konsept olan makrolara dayanıyor. Temelde makrolar, örneğin dosyalarla çalışırken belirli eylemleri otomatik hale getirmeyi sağlayan basit programlar.

Çoğunlukla Microsoft Excel gibi elektronik tablolarda karmaşık hesaplamalar yapmak için kullanılıyorlar. Microsoft Word, örneğin bir forma girilen verilerden otomatik olarak rapor oluşturmak gibi işler için çok eskiden beri makroları destekliyor.

Bu Word işlevi 1995’te WM/Concept.A virüsü tarafından kötüye kullanılmıştı. Bu makro virüsü Microsoft Word belgelerine bulaşıyor ve belge açıldığında şu mesajı gösteriyordu:

 Concept.A makro virüsü bulaşmış bir belgeyi açınca çıkan mesaj

Concept.A makro virüsü buna yol açıyordu. Kaynak

 

Hepsi buydu. Herhangi bir kötü amaçlı işlevi yoktu, sadece sürekli çıkıp duran sinir bozucu bir pencereden ibaretti. 1998’den 2006’ya kadar şirketin Office çözümlerinin geliştirilmesinden sorumlu eski Microsoft çalışanı Steven Sinofsky anılarında Concept.A’den ilk sinyal olarak bahsediyor. O noktada tüm Microsoft çözümlerinde uygulanan otomasyonun kendi aleyhine de kullanılabileceği açıkça ortaya çıkmıştı. Bunun sonucunda makrolar yürütülmeden önce bir uyarı göstermeye karar verildi: Bu belge bir program içeriyor, çalıştırmak istediğinizden emin misiniz?

Microsoft makro çalıştırmakla ilgili kısıtlamalar uygulamaya başlar başlamaz kötü amaçlı yazılım geliştiriciler bu kısıtlamaları atlatmanın yollarını aramaya başladı. Bir sonraki büyük olay Mart 1999’da gerçekleşti. Steven Sinofsky bu olayı şöyle anlatıyor: E-postanızı kontrol ederken konu satırında “Önemli mesaj” yazan, ekinde de bir dosya bulunan bir mesaj görüyorsunuz.

 Melissa virüsü taşıyan mesaj

Melissa virüsü taşıyan mesaj. Kaynak

 

Ardından aynı mesajın başka birinden daha geldiğini görüyorsunuz. Sonra başka birinden daha. Sonunda e-posta çalışmamaya başlıyor. Microsoft’un e-posta sunucusu bile bu kadar yükü kaldıramıyor. İşte Melissa internet solucanı böyle bir şeydi. Ekteki Microsoft Word belgesi, adres defterindeki ilk 50 kişiye Microsoft Outlook’tan mesaj gönderen kötü amaçlı bir kod içeriyordu.

Her şey aşk için

ILOVEYOU solucanı, Melissa’da kullanılan fikrilerin geliştirilmiş haliydi. Microsoft ürünlerindeki herhangi bir güvenlik açığını kullanmıyordu, standart fonksiyonları kullanıyordu. Tek hata, Outlook e-posta istemcisinden komut dosyası başlatıldığında hiçbir uyarı gösterilmemesiydi.

Solucanın işlevleri tüm alıcılara aşk mesajları göndermekle sınırlı değildi. Kurbanın adına gönderilen spam e-postalara ek olarak o sıralar popüler olan IRC mesajlaşma uygulaması üstünden de yayılabiliyordu. Dahası solucan, kötü amaçlı yazılımın yaratıcısına e-posta ve internet erişimi parolalarını gönderen bir Truva Atı programı indiriyordu. Son olarak da sabit diskteki dosyaları siliyor, saklıyor ya da bozuyordu. Bozulan dosyalar arasında MP3 formatında müzikler, JPEG resimler, çeşitli komut dosyaları ve web sitesi kopyaları vardı.

ILOVEYOU salgınının arkasındaki kişi, önceki makro virüslerinden bazı geliştirmeleri işin içine katmış, müthiş bir sosyal mühendislik hilesi bulmuş (kim “seni seviyorum” adlı bir dosyayı görmezden gelebilir ki?), kötü amaçlı işlevler eklemiş ve kötü amaçlı yazılımın otomatik olarak yayılmasından sonuna kadar faydalanmıştı.

Dönemin Kaspersky ve medya raporlarını izleyerek olayların sırasını takip etmek mümkün. 4 Mayıs’ta, daha ilk günden, binlerce sistem virüsü tespit edildi. 9 Mayıs’ta 2,5 milyon bilgisayara virüs bulaştığı raporlanmıştı. Bu da dünya çapında on milyonlarca e-posta gönderildiği anlamına geliyordu.

Virüsün yaratıcısı kötü amaçlı kodu bir ofis belgesi gibi göstermeye bile çalışmamıştı. “LOVE-LETTER-FOR-YOU.TXT.VBS” olan dosya adı, yazının başındaki ekran görüntüsünde de görülebileceği gibi Microsoft e-posta istemcilerinin uzun bir ismin yalnızca ilk kısmını göstermesinden faydalanıyordu. İçerideki kod açık formattaydı ve kısa süre içinde birçok kötü niyetli kişi internet solucanının farklı varyasyonlarını yaratmak için bu kodu kullanmaya başladı. Zamanla konu satırında ILOVEYOU yerine başka sözcükler belirdi. Bunların arasında kendinden emin bir dille yazılmış virüs uyarıları da vardı. 19 Mayıs’ta tespit edilen NewLove varyantı dosyaları seçerek silmiyor, sabit diskteki tüm bilgileri yok ediyordu.

ILOVEYOU virüsünün etkilerine dair nihai tahminlere göre internete bağlı bilgisayarların %10’una virüs bulaştı. Varyantların yıkıcı eylemleri de dahil toplam zararın yaklaşık 10 milyar USD olduğu tahmin ediliyor. Olay basında büyük yer buldu. ABD Senatosu’nda konuyla ilgili oturumlar bile gerçekleşti.

Hatalar yapıldı

2022’de hikayeyi baştan sona bilen biri şu soruyu sorabilir: Bu kadar basit bir virüs salgını en baştan önlenemez miydi? Microsoft, sonunda komut dosyası yürütmeye ciddi kısıtlamalar getiren büyük Outlook e-posta istemcisi güvenlik güncellemesini 8 Haziran 2000 tarihine kadar yayınlamadı. Güncellemeyle birlikte tüm e-posta ekleri varsayılan olarak güvenilmez hale geldi ve harici bir uygulamanın Outlook adres defterine erişmesine ya da aynı anda birden fazla e-posta göndermeye çalışmasına kontroller getirildi.

 Outlook e-posta istemcisi, Haziran 2000'deki güncellemenin ardından harici bir uygulamanın adres defterine eriştiğine ve aynı anda birden fazla mesaj göndermeye çalıştığına dair kullanıcıları uyarmaya başladı.

Outlook e-posta istemcisi, Haziran 2000’deki güncellemenin ardından harici bir uygulamanın adres defterine eriştiğine ve aynı anda birden fazla mesaj göndermeye çalıştığına dair kullanıcıları uyarmaya başladı. Kaynak

 

Bunun daha önce yapılmamasının sebebi, güvenlik ve rahatlık ikileminde Microsoft’un rahatlıktan yana olmasıydı. Kullanıcılar da öyleydi. Microsoft 1995’te Microsoft Word’e basit bir uyarı getirdiğinde (“Bu belge makro içeriyor”) müşterilerden çok fazla olumsuz geri bildirim almıştı. Bu ek onay, bazı şirketlerde komut dosyalarına dayalı iç süreçleri sekteye uğratmıştı. Bu sebeple ILOVEYOU’nun ardından yama geliştirilirken bile “Bu yama kullanıcılar için bir şeyleri bozacak mı?” sorusu gündemdeydi. Ancak bu sefer güvenliğin hızla iyileştirilmesi gerektiği çoktan netleşmişti.

Eski virüs, yeni problemler

ILOVEYOU salgını günümüzde bilgi güvenliği alanında hala güncelliğini koruyan birçok soruyu ortaya attı. İçlerinden en önemlisi şuydu: Yamaları daha hızlı yayınlayamaz mıyız? Bu kesinlikle sorunlu bir noktaydı. Microsoft, Outlook için yama kitini salgın başladıktan bir ay sonra yayınlamıştı. Ayrıca bu güncellemelere yönelik otomatik dağıtım mekanizmaları da henüz ilkeldi. Dolayısıyla yerel e-posta salgınlarının ortadan kalkması uzun sürüyordu.

Güvenlik çözümleri sektörü bu anlamda oldukça faydalı olduğunu halihazırda kanıtlamıştı. Eugene Kaspersky’nin de hatırladığı gibi, şirketin antivirüs kullanıcılarını korumak zor değildi. Diğer türde program geliştiricilerin benzer bir hızlı yama dağıtımı planı uygulaması çok uzun yıllar sonra gerçekleşse de o yıllarda bile güvenlik yazılımlarında düzenli güncellemeler için çevrimiçi dağıtım sistemi vardı. Kısa bir süre sonra, bilinmeyen kötü amaçlı komut dosyalarını bile otomatik olarak tespit edip engellemeye yönelik sezgisel analiz yöntemleri geliştirildi.

Aradan geçen 22 yıl içinde popüler programların ve işletim sistemlerinin güvenliği devasa ölçüde gelişse de kötü amaçlı yazılım yaratıcıları da başarılı siber saldırılar için yeni boşluklar bulmaya devam etti.

Kötü amaçlı makrolar da ortadan kaybolmadı. Microsoft, 2022’nin Şubat ayında internet üzerinden alınan Office belgelerindeki tüm komut dosyalarının yürütülmesini yasaklayarak dağıtılmalarını kısıtlamaya nihayet söz verdi. Temmuz 2022’nin başında bu yasak kaldırıldı. Kullanıcı tarafında bir şeylerin bozulmasıyla ilgili korkulanın gerçekleşmiş olabileceğini varsaymak mümkün. Microsoft, aynı ayın ilerleyen günlerinde tekrar makroları varsayılan olarak engellemeye karar verdi fakat bu sefer ihtiyaç duyanlara yasağı nasıl delebileceklerini de açıkladı.

Artık tek bir kötü amaçlı yazılımın on veya yüz milyonlarca bilgisayara yayıldığı daha az sayıda büyük ölçekli salgın gerçekleşse de hala bunları tamamen önleyemiyoruz. Kesinlikle değişen şey, artık şirket ve kulanıcı verilerini rehin alıp fidye talep ederek siber saldırıların paraya çevriliyor olması.

Hikayemizi ILOVEYOU internet solucanının yaratıcısının başına gelenleri kısaca özetleyerek bitirelim. Onel de Guzman salgın sırasında 24 yaşında bir öğrenciydi. FBI yetkilileri 2000’de solucanı içeren orijinal mesajların Filipinler’deki kullanıcılardan oluşan popüler e-posta listelerine gönderildiğini belirlemeyi başardı. Hala Filipinler’de yaşayan de Guzman, 2000 yılında ILOVEYOU’nun yazarı olduğundan şüphelenilen kişiler listesine eklendi. Ancak iki sebeple ceza almadı: Hem yeterli kanıt bulunamadı hem de o yıllarda yerel kanunlarda siber suçlara yönelik cezai bir madde bulunmuyordu.

2020’de gazeteciler de Guzman’ı buldu. De Guzman gazetecilere ILOVEYOU’nun ilk başta Outlook adres defteri için bir toplu posta gönderme işlevi bulunmadığını ve solucanı internete ödeyecek parası olmadığından internet erişim parolası çalmak için yarattığını anlattı. De Guzman kötücül yeteneklerini hiçbir zaman paraya çevirmeyi başaramadı. Yazı yayınlandığı sırada Manila’da mütevazi bir telefon tamiri dükkanında çalışıyordu.

İpuçları

Ev güvenliğinin sağlanması

Güvenlik şirketleri, evinizi hırsızlık, yangın ve diğer olaylardan korumak için başta kameralar olmak üzere çeşitli akıllı teknolojiler sunuyor. Peki ya bu güvenlik sistemlerinin kendilerini davetsiz misafirlerden korumak? Bu boşluğu biz dolduruyoruz.