{"id":8333,"date":"2020-05-18T14:15:04","date_gmt":"2020-05-18T11:15:04","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=8333"},"modified":"2020-05-18T14:15:04","modified_gmt":"2020-05-18T11:15:04","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/snow-queen-cybersecurity\/8333\/","title":{"rendered":"Karlar Krali\u00e7esi: Yedi masal ile bir siber g\u00fcvenlik raporu"},"content":{"rendered":"

Sizce Danimarkal\u0131 siber g\u00fcvenlik uzman\u0131 Hans Christian Andersen\u2019e ait Karlar Krali\u00e7esi<\/em> adl\u0131 masal ne ile ilgili? \u00c7ok sevdi\u011fi arkada\u015f\u0131n\u0131 kurtarmak i\u00e7in k\u0131\u015f\u0131n ve \u00f6l\u00fcm\u00fcn insana b\u00fcr\u00fcnm\u00fc\u015f halini yenilgiye u\u011fratan cesur bir k\u0131z hakk\u0131nda m\u0131? Tekrar d\u00fc\u015f\u00fcn\u00fcn.<\/p>\n

Art\u0131k ger\u00e7ek cevab\u0131 verelim: \u00c7al\u0131\u015fkan ve gayretli bir bilgi g\u00fcvenli\u011fi uzman\u0131 olan Gerda taraf\u0131ndan d\u00fczenlenmi\u015f olan, belirli bir Kai\u2019nin k\u00f6t\u00fcc\u00fcl bir yaz\u0131l\u0131m taraf\u0131ndan nas\u0131l enfekte oldu\u011funa ili\u015fkin detayl\u0131 bir soru\u015fturmad\u0131r. Bu s\u00f6zde peri masal\u0131, net \u015fekilde soru\u015fturma a\u015famalar\u0131na kar\u015f\u0131l\u0131k gelen yedi \u00f6yk\u00fc \u015feklinde yaz\u0131lm\u0131\u015ft\u0131r.<\/p>\n

1. Masal: Bir ayna ve par\u00e7alar\u0131<\/h2>\n

Daha \u00f6nce Securelist.com<\/a> isimli uzman blogumuza (veya bu konu i\u00e7in, iyi haz\u0131rlanm\u0131\u015f ba\u015fka bir infosec ara\u015ft\u0131rmas\u0131na) g\u00f6z att\u0131ysan\u0131z, b\u00fcy\u00fck bir olas\u0131l\u0131kla soru\u015fturma raporlar\u0131n\u0131n s\u0131kl\u0131kla olay ge\u00e7mi\u015finin ke\u015ffiyle ba\u015flad\u0131\u011f\u0131n\u0131 da biliyorsunuzdur. Andersen de bundan farkl\u0131 de\u011fil: \u0130lk hikayesi, Kai olay\u0131n\u0131n kayna\u011f\u0131na iniyor.<\/p>\n

Bir zamanlar (Andersen\u2019in verilerine g\u00f6re<\/a>) bir hobgoblin, insanlar\u0131n iyi ve g\u00fczel \u00f6zelliklerini azaltma ve k\u00f6t\u00fc ve \u00e7irkin \u00f6zelliklerini art\u0131rma g\u00fcc\u00fcne sahip sihirli bir ayna yaratm\u0131\u015f. Hobgoblin\u2019in yard\u0131mc\u0131lar\u0131 aynay\u0131 milyarlarca par\u00e7aya ayr\u0131lacak \u015fekilde k\u0131rm\u0131\u015f olsa dahi, bu par\u00e7alar insanlar\u0131n g\u00f6zlerine ve kalplerine yerle\u015fmi\u015f ve aynan\u0131n ger\u00e7ekli\u011fi de\u011fi\u015ftiren sihirli \u00f6zelli\u011fini yitirmemi\u015f. Baz\u0131 insanlar ise bu par\u00e7alar\u0131 pencerelerinin \u00e7er\u00e7evelerine yerle\u015ftirmi\u015f ve g\u00f6r\u00fc\u015flerini bozmu\u015flar. Di\u011fer insanlar da par\u00e7alardan g\u00f6zl\u00fckleri i\u00e7in lens yapm\u0131\u015flar.<\/p>\n

Pamuk Prenses<\/em><\/a> masal\u0131ndan da biliyoruz ki, hikaye anlat\u0131c\u0131lar\u0131 genellikle aynalar\u0131n\u0131 ekranlar i\u00e7in bir metafor olarak kullan\u0131r: TV\u2019ler, bilgisayarlar, tabletler, telefonlar; siz b\u00fcy\u00fck resmi g\u00f6rm\u00fc\u015fs\u00fcn\u00fczd\u00fcr (kelimenin tam anlam\u0131yla).<\/p>\n

Bu nedenle, Andersen\u2019in s\u00f6zlerini alegori dilinden d\u00fcz yaz\u0131ya \u00e7evirdi\u011fimizde \u015funu anlar\u0131z: G\u00fc\u00e7l\u00fc bir bilgisayar korsan\u0131, web sitelerini bozan dahili taray\u0131c\u0131ya sahip bir sistem olu\u015fturdu. Daha sonra da onun yard\u0131mc\u0131lar\u0131 \u00e7ok say\u0131da Microsoft Windows cihaz\u0131n\u0131 ve hatta art\u0131r\u0131lm\u0131\u015f ger\u00e7eklik g\u00f6zl\u00fcklerini enfekte etmek i\u00e7in kaynak kodu par\u00e7alar\u0131 kulland\u0131.<\/p>\n

Asl\u0131nda, bu durum hi\u00e7 de nadir de\u011fildi. EternalBlue a\u00e7\u0131\u011f\u0131ndan yararlanma s\u0131z\u0131nt\u0131s\u0131 en temel \u00f6rnektir. Bu s\u0131z\u0131nt\u0131 WannaCry ve NotPetya<\/a> salg\u0131nlar\u0131n\u0131n yan\u0131 s\u0131ra, daha az y\u0131k\u0131c\u0131 olan fidye yaz\u0131l\u0131m\u0131 salg\u0131nlar\u0131na da yol a\u00e7t\u0131. Ancak konudan uzakla\u015f\u0131yoruz. Masal\u0131m\u0131za geri d\u00f6nelim.<\/p>\n

2. Masal: K\u00fc\u00e7\u00fck bir o\u011flan ve k\u00fc\u00e7\u00fck bir k\u0131z<\/h2>\n

Andersen ikinci hikayede, kurbanlardan birini ve ilk enfeksiyon vekt\u00f6r\u00fcn\u00fc daha ayr\u0131nt\u0131l\u0131 bir \u015fekilde a\u00e7\u0131klayarak devam ediyor. Mevcut verilere g\u00f6re, Kai ve Gerda biti\u015fik \u00e7at\u0131 pencereleri (Windows tabanl\u0131 ileti\u015fim!) \u00fczerinden irtibat kurdular. Bir k\u0131\u015f g\u00fcn\u00fc, Kai penceresinden bakt\u0131\u011f\u0131nda incecik beyaz bir t\u00fclle sar\u0131lm\u0131\u015f garip ve g\u00fczel bir kad\u0131n g\u00f6rd\u00fc. Bu, Kai\u2019nin hacker\u2019la ilk bulu\u015fmas\u0131yd\u0131 (art\u0131k o kad\u0131n i\u00e7in \u201cKarlar Krali\u00e7esi\u201d diyece\u011fiz).<\/p>\n

K\u0131sa bir s\u00fcre sonra Kai, kalbinin tam ortas\u0131nda bir b\u0131\u00e7ak hissetti ve bir \u015fey g\u00f6z\u00fcn\u00fc ac\u0131t\u0131yordu. Andersen, enfeksiyon an\u0131n\u0131 bu \u015fekilde tan\u0131mlar. K\u00f6t\u00fc ama\u00e7l\u0131 kod kalbine (OS \u00e7ekirde\u011fi) ve g\u00f6z\u00fcne (veri giri\u015f cihaz\u0131) girdi\u011finde, Kai\u2019nin d\u0131\u015f uyaranlara tepkisi t\u00fcm\u00fcyle de\u011fi\u015fti ve gelen t\u00fcm bilgiler bozuk gibi g\u00f6r\u00fcn\u00fcyordu.<\/p>\n

Bir s\u00fcre sonra da k\u0131za\u011f\u0131n\u0131 Karlar Krali\u00e7esi\u2019nin k\u0131za\u011f\u0131na ba\u011flayarak tamamen evden ayr\u0131ld\u0131. Bir sebepten \u00f6t\u00fcr\u00fc Karlar Krali\u00e7esi\u2019ne g\u00fcvenen Kai, ona \u00e7ok k\u00fc\u00e7\u00fck say\u0131larda dahi zihinsel aritmeti\u011fin nas\u0131l kullan\u0131laca\u011f\u0131n\u0131 ve her \u00fclkenin b\u00fcy\u00fckl\u00fc\u011f\u00fcn\u00fc ve n\u00fcfusunu bildi\u011fini s\u00f6yledi. Bunlar k\u00fc\u00e7\u00fck ayr\u0131nt\u0131lar gibi g\u00f6r\u00fcnebilir. Ancak daha sonra g\u00f6rece\u011fimiz gibi, asl\u0131nda sald\u0131rgan\u0131n ilgilendi\u011fi \u015fey tam olarak buydu.<\/p>\n

3. Masal: B\u00fcy\u00fcl\u00fc yeteneklere sahip kad\u0131n\u0131n \u00e7i\u00e7ek bah\u00e7esi<\/h2>\n

Gerda kendi soru\u015fturmas\u0131na ba\u015flad\u0131 ve bir nedenden dolay\u0131 ara\u015ft\u0131rmas\u0131n\u0131 engelleyen bir kad\u0131nla kar\u015f\u0131la\u015ft\u0131. Laf\u0131 doland\u0131rmamak ad\u0131na, en \u00e7ok b\u00fcy\u00fcc\u00fcn\u00fcn Gerda\u2019n\u0131n sa\u00e7lar\u0131n\u0131 tarad\u0131\u011f\u0131 ve Kai\u2019yi unutmas\u0131na neden oldu\u011fu b\u00f6l\u00fcmle ilgileniyoruz.<\/p>\n

Bir ba\u015fka deyi\u015fle, kron soru\u015fturma ile ilgili verileri bir \u015fekilde bozdu. Kullan\u0131lan siber silah\u0131n bir tarak oldu\u011funu zaten biliyoruz. Grimm karde\u015flerin Pamuk Prenses<\/em> olay\u0131na ili\u015fkin<\/a> raporunda, \u00fcvey anne de kurban\u0131 engellemek i\u00e7in benzer bir alet kullanm\u0131\u015ft\u0131. Tesad\u00fcf m\u00fc? Yoksa bu olaylar m\u0131 birbiriyle ili\u015fkili mi?
\nHer ko\u015fulda, Pamuk Prenses\u2019te oldu\u011fu gibi, tarak kaynakl\u0131 engelleme kal\u0131c\u0131 de\u011fildi; veriler geri y\u00fcklendi ve Gerda soru\u015fturmas\u0131na devam etti.<\/p>\n

Raporun \u00fc\u00e7\u00fcnc\u00fc b\u00f6l\u00fcm\u00fcn\u00fcn sonuna geldi\u011finde Gerda, cad\u0131n\u0131n bah\u00e7esindeki \u00e7i\u00e7eklere Kai\u2019yi g\u00f6r\u00fcp g\u00f6rmediklerini sordu. Bu b\u00fcy\u00fck olas\u0131l\u0131kla, logosunda bir \u00e7i\u00e7ek bulunan (ve kullan\u0131c\u0131 durum g\u00f6stergesi olarak kullan\u0131lan) eski ICQ messenger uygulamas\u0131na yap\u0131lan bir g\u00f6ndermedir. Gerda, cad\u0131yla konu\u015fup onun ileti\u015fim kanallar\u0131n\u0131 kullanarak olay hakk\u0131nda ek bilgi almaya \u00e7al\u0131\u015f\u0131yordu.<\/p>\n

4. Masal: Prens ve prenses<\/h2>\n

Soru\u015fturman\u0131n d\u00f6rd\u00fcnc\u00fc a\u015famas\u0131 pek alakal\u0131 g\u00f6r\u00fcnm\u00fcyor. Gerda Kai\u2019yi h\u00fck\u00fcmet veri taban\u0131ndan \u00e7al\u0131\u015ft\u0131rmay\u0131 denedi. Bunu yapmak i\u00e7in de, bir h\u00fck\u00fcmet binas\u0131na (kraliyet saray\u0131) eri\u015febilmesini sa\u011flayacak birka\u00e7 kuzgunla tan\u0131\u015ft\u0131.<\/p>\n

Her ne kadar bu bir sonu\u00e7 vermese de, Gerda h\u00fck\u00fcmeti g\u00fcvenlik a\u00e7\u0131klar\u0131 ve risk te\u015fkil eden kuzgunlar hakk\u0131nda uygun \u015fekilde bilgilendirdi. Prens ve prenses g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 yama ile d\u00fczeltti ve kuzgunlara k\u0131zmad\u0131klar\u0131n\u0131 fakat bunu tekrar yapmamalar\u0131 gerekti\u011fini s\u00f6ylediler. Ku\u015flar\u0131 cezaland\u0131rmad\u0131klar\u0131n\u0131, yaln\u0131zca onlardan davran\u0131\u015flar\u0131n\u0131 de\u011fi\u015ftirmelerini istediklerine dikkat edin.<\/p>\n

Bir \u00f6d\u00fcl olarak, prens ve prenses Gerda\u2019ya birka\u00e7 \u015fey (bir at arabas\u0131, s\u0131cak giysiler, hizmet\u00e7iler) verdiler. Bu durum, bir kurulu\u015fun ara\u015ft\u0131rmac\u0131lar bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bildirdi\u011finde nas\u0131l kar\u015f\u0131l\u0131k vermesi gerekti\u011fine ili\u015fkin harika bir \u00f6rnektir; umal\u0131m ki \u00f6d\u00fcl tek seferlik de\u011fildir ve uygun bir hata \u00f6d\u00fcl program\u0131<\/a> haline gelmi\u015ftir.<\/p>\n

5. Masal: K\u00fc\u00e7\u00fck soyguncu k\u0131z<\/h2>\n

Bu hikayede Gerda haydutlar\u0131n pen\u00e7esine d\u00fc\u015fm\u00fc\u015f gibi g\u00f6r\u00fcn\u00fcyor. Andersen asl\u0131nda, soru\u015fturman\u0131n \u00f6nceki a\u015famas\u0131nda \u00e7\u0131kmaza girmi\u015f olan Gerda\u2019n\u0131n, yasalara pek de uymayan denebilecek kuvvetlerden yard\u0131m almak zorunda kald\u0131\u011f\u0131n\u0131 a\u00e7\u0131klamak i\u00e7in ba\u015fka bir alegori daha kullan\u0131yor.<\/p>\n

Siber su\u00e7lular, Gerda\u2019y\u0131 Kai olay\u0131nda kimin su\u00e7lanaca\u011f\u0131n\u0131 tam olarak bilen baz\u0131 haberci g\u00fcvercinlerle ve baz\u0131 yararl\u0131 karanl\u0131k a\u011f ba\u011flant\u0131lar\u0131n\u0131n adreslerine sahip bir ren geyi\u011fiyle tan\u0131\u015ft\u0131rd\u0131. Bu yard\u0131m pahal\u0131ya patlad\u0131; bir \u00f6nceki hikayede kazand\u0131\u011f\u0131 \u015feylerin b\u00fcy\u00fck k\u0131sm\u0131n\u0131 kaybetti.<\/p>\n

Gen\u00e7 ara\u015ft\u0131rmac\u0131n\u0131n d\u00fcr\u00fcstl\u00fc\u011f\u00fcn\u00fc sarsmak istemeyen Andersen, su\u00e7lularla olan ili\u015fkilerini ka\u00e7\u0131n\u0131lmaz olarak tan\u0131ml\u0131yor; onu \u00f6nce soyduklar\u0131n\u0131 ve ancak daha sonra kurbanlar\u0131na ac\u0131yarak bilgi verdiklerini s\u00f6yl\u00fcyor. Bu kula\u011fa pek ikna edici gelmiyor. B\u00fcy\u00fck olas\u0131l\u0131kla, kar\u015f\u0131l\u0131kl\u0131 yarar sa\u011flayan bir anla\u015fma yapm\u0131\u015flard\u0131.<\/p>\n

6. Masal: Lapon kad\u0131n ve Fin kad\u0131n<\/h2>\n

Daha sonra, haydutlar taraf\u0131ndan sa\u011flanan karanl\u0131k a\u011f ba\u011flant\u0131lar\u0131 arac\u0131l\u0131\u011f\u0131yla soru\u015fturma i\u00e7in gerekli bilgi toplama i\u015finin son a\u015famas\u0131 geliyor. Ren geyi\u011fi, Gerda\u2019y\u0131 kurutulmu\u015f bir morina bal\u0131\u011f\u0131 \u00fczerine bir sonraki ba\u011flant\u0131 olan belirli bir Fin kad\u0131n i\u00e7in bir tavsiye mektubu yazan belirli bir Lapon kad\u0131nla tan\u0131\u015ft\u0131rd\u0131.<\/p>\n

Buna kar\u015f\u0131l\u0131k Fin kad\u0131n, \u201cKarlar Krali\u00e7esi\u2019nin bah\u00e7esinin\u201d adresini; daha a\u00e7\u0131k olmak gerekirse komut ve kontrol sunucusunun ad\u0131n\u0131 verdi. Burada ho\u015f bir dokunu\u015f bulunuyor: Mesaj\u0131 okuduktan sonra morina bal\u0131\u011f\u0131n\u0131 bir \u00e7orba kasesine at\u0131yor. Gereksiz izler b\u0131rakmaman\u0131n pratik \u00f6nemini anlad\u0131, bu nedenle de OPSEC<\/a> kurallar\u0131na dikkatle uydu. Eski bir profesyonel hamlesi.<\/p>\n

7. Masal: Karlar Krali\u00e7esi\u2019nin saray\u0131nda olanlar ve daha sonra ya\u015fananlar<\/h2>\n

Yedinci hikaye sonunda Karlar Krali\u00e7esi\u2019nin her \u015feyden \u00f6nce neden Kai\u2019ye ihtiya\u00e7 duydu\u011funu a\u00e7\u0131klan\u0131yor. Orada otururken, buz par\u00e7alar\u0131n\u0131 yeniden s\u0131ral\u0131yor ve \u201csonsuzluk\u201d s\u00f6zc\u00fc\u011f\u00fcn\u00fc hecelemeye \u00e7al\u0131\u015f\u0131yordu. \u00c7\u0131lg\u0131nca, de\u011fil mi? Pek de de\u011fil. Kripto madencilik hakk\u0131nda giri\u015f niteli\u011fi ta\u015f\u0131yan bu yaz\u0131ya g\u00f6z at\u0131n<\/a>. A\u00e7\u0131kland\u0131\u011f\u0131 \u00fczere, kripto madenciler esasen sadece herhangi bir karma elde etmek i\u00e7in de\u011fil, ayn\u0131 zamanda m\u00fcmk\u00fcn olan en \u201cg\u00fczel\u201d \u00f6rne\u011fi bulmak i\u00e7in bir bilgi blo\u011funu yeniden d\u00fczenleyerek \u00e7al\u0131\u015f\u0131rlar.<\/p>\n

Yani, Kai bilgi par\u00e7alar\u0131n\u0131 d\u00fczenlemeye \u00e7al\u0131\u015ft\u0131, b\u00f6ylece karma \u201csonsuzluk\u201d s\u00f6zc\u00fc\u011f\u00fc \u015feklinde ortaya \u00e7\u0131kt\u0131. Bu a\u015famada, Andersen\u2019in ikinci masalda neden Kai\u2019nin bilgi i\u015flem g\u00fcc\u00fcne odakland\u0131\u011f\u0131 netle\u015fiyor. Karlar Krali\u00e7esi\u2019nin pe\u015finde oldu\u011fu \u015fey asl\u0131nda buydu ve Kai yaln\u0131zca kripto madencilik yapmak amac\u0131yla enfekte olmu\u015ftu. Bu durum ayn\u0131 zamanda Karlar Krali\u00e7esi\u2019nin kuzeyle ve so\u011fukla ilgili tak\u0131nt\u0131s\u0131n\u0131 da a\u00e7\u0131kl\u0131yor; y\u00fcksek performansl\u0131 bir maden \u00e7iftli\u011fi i\u00e7in ciddi bir so\u011futma gereklidir.<\/p>\n

Gerda daha sonra Kai\u2019nin buzla kapl\u0131 kalbini g\u00f6zya\u015flar\u0131yla eritti (yani, \u00e7e\u015fitli ara\u00e7lar\u0131 kullanarak k\u00f6t\u00fc ama\u00e7l\u0131 kodu sildi ve sistem \u00e7ekirde\u011finin kontrol\u00fcn\u00fc tekrar eline ge\u00e7irdi). Kai daha sonra g\u00f6zya\u015flar\u0131na bo\u011fuldu, yani yerle\u015fik antivir\u00fcs\u00fcn\u00fc etkinle\u015ftirdi (daha \u00f6nce \u00e7ekirde\u011findeki vir\u00fcsl\u00fc mod\u00fcl taraf\u0131ndan engellenmi\u015fti) ve ikinci zararl\u0131 kod par\u00e7as\u0131n\u0131 g\u00f6z\u00fcn\u00fcn i\u00e7inden \u00e7\u0131kard\u0131.<\/p>\n

Raporun sonu g\u00fcn\u00fcm\u00fcz standartlar\u0131na g\u00f6re olduk\u00e7a garip. Potansiyel kurbanlar, sistem g\u00fcvenli\u011finin a\u015f\u0131lmas\u0131 i\u00e7in g\u00f6stergeler ve di\u011fer yararl\u0131 ipu\u00e7lar\u0131na ili\u015fkin ipu\u00e7lar\u0131 sa\u011flamak yerine Andersen, karakterlerin eve geri d\u00f6nmesi hakk\u0131nda kafa yoruyor. Belki de 19. y\u00fczy\u0131lda, infosec raporlar\u0131nda konu bu \u015fekilde toparlan\u0131yordu.<\/p>\n

Daha \u00f6nce de s\u00f6yledi\u011fimiz gibi, masal yazarlar\u0131 asl\u0131nda sekt\u00f6r\u00fcn en eski siber g\u00fcvenlik uzmanlar\u0131d\u0131r. Karlar Krali\u00e7esi olay\u0131 da sadece iddiam\u0131z\u0131 destekliyor. Yukar\u0131da a\u00e7\u0131kland\u0131\u011f\u0131 gibi, hikaye karma\u015f\u0131k bir olay\u0131n ara\u015ft\u0131r\u0131lmas\u0131n\u0131n ayr\u0131nt\u0131l\u0131 bir a\u00e7\u0131klamas\u0131d\u0131r. Ayr\u0131ca di\u011fer pop\u00fcler masal analizlerimize de g\u00f6z atman\u0131z\u0131 \u00f6neririz:<\/p>\n