Websense firması 2009 yılındaki güvenlik tehditlerine yönelik bir sıralama yaptı. Tehditlerin sofistike ve network ya da web üzerinden gelenlerinin öncelikli olduğu ve 6 farklı tehditin yer aldığı listede “cloud computing”e yönelik tehdit ilk sırayı alıyor.
- Kötü niyetli “Cloud” kullanımı artacak
Amazon web Services (AWS), Microsoft Azure, ve GoGrid gibi cloud-tabanlı hizmetler işletmelere ve kullanıcılara kullanım kolaylığı ve kiralama imkanlarıyla birlikte düşük maliyette depolama ve büyük-ölçekli bilgisayar kullanım hizmetleri sunmakta. Ancak bu servisler aynı zamanda siber suçlular ve spamciler için de çekici birer hedef durumunda.
Websense 2009 yılında cloud computing’in kötüye kullanımında bir artış göreceğimiz öngörüsünde bulunuyor. Cloud adı verilen bilgisayar kümeleri en basitinden spam göndermek için olabileceği gibi, kötü niyetli kodların indirilmesi için imkan yaratmak, kod istatistiklerini belirlemek ve kötü niyetli kodları test etmek gibi çok daha sofistike saldırılar için de kullanılabilir.
- Flash ve Google Gears gibi RIA’ların kötü amaçlı kullanımı yükselişte
Geleneksel masa-üstü uygulamalarının yerini alan veya onlarla birlikte kullanılmaya başlayan web-tabanlı uygulamalar gittikçe daha fazla benimseniyor. Bunlara örnek olarak web-tabanlı CRM sistemlerini, Google Docs’u ve diğer web-tabanlı ofis araçlarını sayabiliriz.
Web-tabanlı bir uygulama aracılığı ile zengin Internet deneyimi oluşturmak Zengin Internet Uygulamaları (Rich Internet Applications – RIA) teknolojisinin ortaya çıkışı ile birlikte başladı. Bu uygulamalara olan talepte patlama yaşanmasıyla birlikte ise Google Gears, Air, Flash ve Silverlight gibi RIA teknolojilerini kapsamlı web 2.0 internet uygulamaları oluşturmak için kullanmakta olan geliştiriciler için güvenlik ister istemez ikinci planda kaldı ve siber suçlular için tabiri caizse kapılar ardına dek açılmış oldu.
RIA popülerliğinin patlama yapması sonucunda ise yeni yılda hem çekirdek RIA bileşenlerinde bulunan açıkların kullanımı hem de saldırganlara kullanıcı PC’lerinde uzaktan kod çalıştırma imkanı sunan kullanıcı-üretimi servisler bazında büyük ölçekli saldırılar görme olasılığımız oldukça yüksek.
- Saldırganlar web’in programlanabilir olmasından istifade ediyorlar
Web 2.0 dünyası açık web uygulamaları (API), mash-uplar, araçlar ve benzerinin web sitelerine kendi özelliklerini paylaşma ve diğer web sitelerinin işlevselliğini kullanma imkanı tanıdığı bir dünya. Yeni web uygulamaları her gün rekor bir hız oranıyla hizmete sunulmakta ve kullanıcılar arasında bir güven düzeyi tutturmak veya testler için zaman bırakmamakta. Websense 2009 yılında kullanıcıların güvenini kötüye kullanmak ve kullanıcılara ait kişisel bilgiler ile gizli verileri çalmak üzere bazı web servis uygulamalarının kullanımında ciddi bir artış yaşanacağını öngörmekte.
- Web spam ve içeriğin kötü amaçlı gönderimi
Kullanıcı-üretimi içeriğe izin veren web sitelerinin popülerlik rakamlarındaki artışın, web spam ve bloglarda, kullanıcı forumlarında ve sosyal networking sitelerinde kötü amaçlı içerik gönderiminde bir artışa neden olacağı son derece açık. Bu saldırıda amaç arama motorlarına virüs veya kurtçuk taşımak, kötü niyetli içeriğin yayılmasını sağlamak ve kullanıcıları dolandırmak.
Ek olarak bu tehdit, saldırganların ileti gönderimine olanak tanıyan ve/veya açıklar barındıran siteleri rahatlıkla bulmasını sağlayan ve son zamanlarda revaçta olan çeşitli yeni web saldırısı araç-kitlerinin kullanımı ile daha da büyüyecek. Dahası her geçen gün daha fazla sayıda BOT yeterlilikleri arasına HTTP gönderim işlevselliğini de ekleyecek.
- Botnetlerin* kontrolü ve kötü amaçlı kodların barındırılması için yaygın bir model
2008 yılında California merkezli iki içerik barındırma (hosting) firması olan McCololo ve Intercage/Atrivo’nun botnet komuta ve kontrol (C&C) sunucusu ile kötü amaçlı kod barındırdıkları için üst seviyedeki internet sağlayıcıları tarafından kapatıldığına şahit olduk. Mcololo’nun kapatılması kapatıldığı gün dağıtılan tüm spam iletilerde yüzde 50’lik bir düşüş sağlamıştı[1].
Intercage/Atrivo’nun kapatılması da benzer bir etki yapmasının yanı sıra “Storm” adı verilen botnetin yayılmasını da önlemişti. Bu botnet gruplarının bu güne dek C&C sunucularını barındırmak için sadece birkaç sağlayıcıya bağlı kalmış olmaları nedeniyle darbe yediklerini düşünürsek bundan sonra üst seviyedeki internet sağlayıcıları, Internet camiası ve yargı mercileri tarafından yakalanma ihtimallerini düşürmek için sunucularını dağıtarak yaygınlaştırmaları ve yabancı hosting sağlayıcılarına yönelmeleri beklenmekte diyebiliriz.
- “İyi” şöhretli web siteleri kuşatma altında
2009’da tüm kötü amaçlı içeriğin yüzde 80’inden fazlasının “iyi-temiz” şöhreti olan sitelerde barınıyor olduğunu göreceğiz. Adı büyük olan sitelerin şanlarına gölge düştüğünü ve sıralamda üstlerde yer alan sitelerin gittikçe daha fazla kötü amaçlı içerik barındırmaya başladığını göreceğiz.
Özel imkanlar sunan siteler, popüler spor siteleri, haber siteleri gibi popüler web sitelerinde çok daha fazla bölgesel saldırı beklenmesinin yanı sıra IFRAME’in ve diğer kötü amaçlı yönlendirme kodlarının her geçen gün bu sitelere daha fazla yerleştirileceği öngörülmekte.
*- Botnet, bilgisayar jargonunda otonom olarak çalışan yazılım kolleksiyonu için kullanılan bir terimdir. “Botnet” terimi IRC bot’ları gibi herhangi bir bot grubunu anlatmak için kullanılabilse de, kelime genellikle genel bir komut ve kontrol altyapısı altında programlar çalıştıran (genellikle kurtçuklar, Tojenler ya da gizli kapıları kullanan programlar) enfekte makine topluluğunu anlatmak için kullanılır. Bir botnet’in yaratıcısı, genellikle IRC gibi yollarla ve kötü amaçlarla grubu uzaktan kontrol edebilir.
[1] ABD’de 1 Hosting Firmasının Kapatılmasıyla Spam % 70 Azaldı