Dün başladığımız 2016 yılının güvenlik konularını değerlendirme söyleşimize, bugün fidye virüsleri konusu ile devam ediyoruz. Swift saldırılarını konuştuğumuz ilk bölümü burayı tıklayarak okuyabilirsiniz.
turk-internet.com: Murat Bey, 2016’da Türkiye’deki firmaların yaşadığı bir sorun da, fidye olayı idi biliyorsunuz. Gerçi 2016’da başlamadı, daha önceden beri vardı. Bize biraz bu fidye saldırıları nedir, nasıl yapılıyor, kurtulmanın yolu var mı; onlardan bahseder misiniz?
Murat Lostar : Memnuniyetle! Fidye saldırıları da aslında en başından beri en alışık olduğumuz saldırı türlerinden bir tanesi. Virüslerin biraz evrim geçirmiş hali. Aslında virüsler evrim geçirmedi. Virüsü yazanlar evrim geçirdi. Virüsü yazanlar eskiden sadece işte kendi isimlerini biraz daha ünlü hale getirmeye uğraşıyordu ya da bulaştıkları bilgisayardaki dosyaları geri döndürülemez bir şekilde siliyorlardı ama virüs yazmanın, virüs yazana parasal bir yararı yoktu.
Kriptolocker ise ya da bu fidye virüsü ise Türkçe’deki haliyle, aslında virüslerin ticari bir iş modeline dönüşmüş olduğu hâl. Virüs bilgisayarınıza giriyor, para edebileceğini düşündüğü tüm dosyaları: fotoğraflar, ofis dosyaları, yazılar, tablolar, muhasebe ya da çeşitli veri tabanı dosyaları gibi bütün dosyaları kriptoluyor yani şifreliyor ve hemen arkasından karşınıza bir mesaj çıkartıp “kardeşim ben bunları şifreledim, açmak için anahtarı istiyor isen, şuraya para yolla” diyor.
İki tane şansınız var: Parayı yollayıp anahtarı almayı umabilirsiniz ya da parayı yollamayıp varsa yedeklerinizden dönersiniz, yedek de yoksa o dosyalara elveda dersiniz, bu kadar basit.
Çünkü fidye virüslerinin burada kullandıkları şifreleme yöntemleri, biz güvenlikçilerin bilgisayardaki bilgileri korumak için kullandığımız şifreleme yöntemleri ile aynı. Son derece güçlü ve hani –işi bilen birisi biraz uğraşsın da o şifreyi kırsın diyebileceğimiz– bir yöntem yok.
Ne oluyor buna karşı? Bir korunma, bir de başımıza geldikten sonra kurtulmayı konuşalım. Korunma yöntemi herhangi bir virüsten korunma yöntemi ile aynı. Bir virüsün bize bulaşmasını engellemek istiyor isek ne yapmamız lazım? Bir, bilgisayarımızda bir antivirüs yazılımı olacak ve bu, güncel olacak. Ama günde bin tane yeni virüsün çıktığı bir dünyada güncel antivirüs de çok bir işe yaramıyor. Bazı özel antivirüsler antivirüsü tanımak yerine antivirüsün davranışını tanıyarak çalışıyor. Bu yeni antivirüs tarzındaki antivirüsler bir şeyler şifrelemeye başladığında uyarıp önlem alabiliyorlar ama daha önemlisi, kendi elimizde: onu bilgisayara sokmaya engel olmak. Fidye virüslerinin neredeyse yüzde 90’ı aynı yöntem ile bilgisayarımıza giriyor. Bize bir tane istemediğimiz e-posta geliyor, teknik ismiyle, fishing e-postası geliyor, bir spam e-posta geliyor.
turk-internet.com: Birkaç tane örnek verir misiniz?
Murat Lostar : Mesela, bir markanın çok kullanılan bir telekom şirketinin faturasıymış gibi geliyor. Çok iyi bilinen bir havayolu şirketinin biletiymiş gibi geliyor. Diyor ki, biletiniz ektedir, faturanız ektedir, bankanın ekstresi ektedir… gibi ve sizden istediği o ekstreyi, bileti ya da faturayı görmek için tıklamak.
Tıklıyorsunuz, bilgisayar size bir şey soruyor. Aslında bilgisayar çok doğru bir soru soruyor: burada bir program var, çalıştırmamı ister misin? diye soruyor ama genellikle kullanıcılar onu “bu dosyayı okumak ister misin?” gibi görüyorlar içgüdüsel olarak çünkü oradaki ufak mesajları okuma alışkanlığımız çok fazla yok. Ki, bu da aslında bir önlem: yazan mesajları okumadan tıklamamak gerekiyor. Tıklayınca kullanıcı, oradaki program arka tarafta çalışıyor ve bilgisayardaki dosyaları şifrelemeye başlıyor o sırada. Eğer, daha da kötüsü, kendi bilgisayarımız bir merkezi sunucuya bağlı ise, o zaman merkezi sunucudaki dosyalar da şifrelenmeye başlıyor. Dolayısıyla sadece kendimize değil, kurumun ortak hafızasına da birtakım zararlar veriyor o virüs.
turk-internet.com: Peki, kurtulma?
Murat Lostar : Kurtulma… işte orası biraz zor. Birkaç tane yöntem var: Birincisi, bilgisayarda bunu fark ettiğimiz anda bilgisayarın ağdan yani network’ten fişini çekip hiç ellemeden bu işin uzmanlarının çağrılması durumunda, bazı durumlarda şifreleme sırasında kullanılan anahtarı hafızadan alıyoruz ama o sırada panik olup “aman dur, bilgisayarı kapatayım, temizleyeyim, başka antivirüs çalıştırayım” dendiği anda aslında o anahtarı tümüyle kaybetme yoluna gidiliyor; o sırada kurtarma imkânı ortadan kalkıyor. Bu, bir. İkincisi…
turk-internet.com: Yani ayırıp kapatmayacağız?
Murat Lostar : Bilgisayarı ayırıp kapatmayacağız. Eğer bilgisayarın uyuma özelliği varsa, kapatmadan uyuma, uyutacağız, o köşede bekleteceğiz. Bir yöntem bu. İkinci yöntem, bu günde bin tane bu tarz virüs çıkıyor ama her birinde de benzer anahtarlar kullanılıyor. Dolayısıyla, söz konusu anahtarın dünyada başkalarına da bulaşması söz konusu. Bunu dünyadaki büyük antivirüs şirketleri sürekli deniyorlar. Çok sayıda virüs çıktığı için, genellikle 2-3 ay geriden 2-3 ay önceki sürümü kurtarmak üzere ücretsiz yazılımları hazırlayıp internete sunuyorlar, sürüyorlar. Onlar beklenebilir. Üçüncü yöntem, eğer bir yedeğimiz varsa, geçmiş olsun, silip o haftanın bilgilerine elveda deyip, 1 haftaki önceki yedeğimizi yükleyip kurabiliriz. O da yoksa, bir kötü haberim var: eskiden yani 2015’te, 2016’nın ilk yarısında parayı ödediğiniz zaman çok yüksek oranda, yüzde 90 oranında virüsleri yazanlar, bu fidye virüsü yazanlar bize o anahtarı gönderiyorlardı çünkü olayı bir ticaret olarak görüyorlardı. Ama 2016’nın ikinci yarısında her nedense bu oran bir hayli düştü. Yani dolayısıyla parayı veren…
turk-internet.com: Oran düştü, ne demek?
Murat Lostar : Yani, parayı verseniz de anahtarı alamayabiliyorsunuz. Yani hem dosyalarınızdan oluyorsunuz, bir de üstüne üstük üzerine kendi elinizle başkaları tarafından dolandırılmış oluyorsunuz, para vermiş oluyorsunuz.
Yarın ki bölümde.. dDOS saldırıları konuşacağız..
Kaynak : 