Dijital hayatın getirdiği avantajlar kadar, zorluklar ya da tehlikeler de mevcut. Şimdiye kadar en çok kişisel verilerin çalınmasından bahsettik ama ticari sırların çalınması da çok önemli. Bir firmanın müşterilerinin kimler olduğunu, hangi ürünü ve kaça sattığı bilgilerini, sadece yurtiçindeki rakipler değil, yurtdışındakiler de öğrenmek istiyor. Bu nedenle hacker kiralayanlar da duyuyoruz.
Dün bana gelen bir bilgiye göre, Türkiye’de pek çok firmanın kullandığı bir yazılım firması hacklendi. Büyük derken, bu firma 30-40 kişilik. Yani eleman sayısı olarak küçük ama müşteri sayısı ve önemi ile büyük bir firma.
Şimdilik daha fazla zarar görmesin diye hacklenen yazılım firmasının adını yazmayacağım. Sonuçta Microsoft bile defalarca hacklendi. Burada firmanın isminden çok daha önemli olan olayın kendisi. Yani “SİBER SALDIRILAR ARTIYOR”. Bu konudaki farkındalığın artması için bu haberi yazıyorum.
Firmaya ulaştık ve durumu sorduk. Şöyle cevapladılar;
“Müşterilerimize sattığımız yazılım ürünlerinin çalışma prensibi gereği iş ortaklarımıza ait verileri sunucularımızda depolamıyoruz.
İlk andan itibaren 2 adet bağımsız siber güvenlik şirketi ile içeride incelemelerimiz devam ediyor. Raporlar tamamlandıkça bunları iletiyor olacağız.
Özellikle kötü niyetli ve manipülatif haberlerin önüne geçmek için sürekli müşterilerimiz ile iletişim halindeyiz.
Yetkili makamlarca yapılan soruşturmaların izin verdiği ölçüde sizlerle web sitemiz üzerinden paylaşım yapıyor olacağız. “
KVKK’yı ve müşterilerini bilgilendirdiğini öğrendiğimiz firmanın ismini yukarıda da belirttik; henüz belirtmiyoruz. Kendilerine ilettiğimiz sualler şöyleydi;
- Bu sızıntı ne zaman oldu?
- Bir kerelik mi, uzun süreli bir sızıntı mı? (son dönem saldırılarda gördüğümüz içeri yerleşip, zaman içinde içeriden bu bilgileri alan bir saldırı mı?
- Bu sızıntının hangi açıktan ve nasıl olduğuna dair bir araştırma yaptınız mı? Tespitiniz var mı?
- Sızıntı sizin yazılımlardan mı kaynaklanıyor? Altyapıdan mı? Başka yazılımlardan mı?
- Açığı tespit edip, kapattınız mı?
- VPN anahtarlarından bahsediliyor. Bu anahtarların sahibi olan müşteriler etkilenecek mi? Tespitiniz nedir?
- Bu olay içeriden bir eleman tarafından mı gerçekleştirilmiş olabilir mi?
- En son sızma testiniz ne zamandı?
- Bu bir fidye saldırısı mıdır?
- Sızan bilgiler hangileridir? Sızıntının kapsamı nedir?
- Kaç GB’lık veriden bahsediliyor?
- KVKK’yı konuyla ilgili olarak bilgilendirdiniz mi?
- İlgili müşterileri (altında liste verilmiş) bilgilendirdiniz mİ?
Böylesine Büyük Bir Firmanın Güvensiz Olması İmkansız, Olayda İçeriden Kokusu Var
Başta belirttik, bu yazılım firmasının müşterileri çok fazla ve de hepsi önemli. Dolayısıyla bilgileri de çok kıymetli. Öyle ki, konuştuğum bir uzman, “bana bile geçmişte sordular, acaba bu firmanın müşterilerinin bilgilerine nasıl ulaşılır diye” dedi.
Siber güvenlik uzmanları, büyük firmaların beraber çalıştığı tedarikçi firmalardan son 3 ay içinde yapılmış pentest, ISO güvenlik standartları gibi belgeler istediklerini hatırlatarak;
“Bu kadar büyük işler yapan firmanın “güvensiz” olması mümkün değil. Hatalı oldukları konular var (mesela veri tabanında maskeli değil plain text tuttukları anlaşılıyor) ama firmanın sorumsuz olduğu düşüncesinde kesinlikle değiliz. Bu daha farklı bir şey olmalı. Çünkü kasım 2023 verileri bile gözüküyor. O zaman içeriye bir rootkit yani backdoor kurulmuş olabilir. Yani bu olayın içeriden olma olasılığı yüksek. Mesela al şu 500 bin TL’yi, sunucuya şu USB’yi tak denilmiş bile olabilir.”
Daha önce yazmıştık. Avustralya’nın uçak alımında Airbus-Boeing arasındaki çekişmede, tekliflerin sunuculardan alındığı spekülasyonları hep yapılır. Ticari sırlar çok önemlidir. “Kim, kime, neyi, kaça satıyor” bilgilerinden bahsediyorum. Hacklenen firmadaki müşteri bilgilerini almak isteyen firmaların olduğuna işaret ediliyor ve muhtemelen hackerların çok fazla çabası olmuş.
Konuştuğum bir başka uzman, sosyal mühendislik olaylarına da işaret etti ve Türkiye’deki büyük firmalardaki çalışanların bile bu konuda yeterince eğitilmediklerini ve kendilerine gönderilen “credential” yani kullanıcı ismi ve şifre kapma (kimlik avı ya da BEC) saldırılarının çok kolaylıkla, başarılı olduğunu söyledi.
Diğer bir uzman ise SOC hizmeti veren bazı firmaların güvensiz olduğuna ve bu firmalar konusunda 1 ay kadar önce EPDK’nın bir liste yayınlayarak, enerji sektöründeki firmalara bu listedeki Siber Güvenlik firmaları ile çalışmamaları gerektiği uyarısı yaptığını hatırlattı.
Bu uyarıyı biz de görmüştük ve EPDK’ya 1 ay önce –evet ya da hayır diye cevaplamadıkları– şu soruları iletmiştik.
Çeşitli haberleşme listelerindeEPDK‘nın enerji firmalarına gönderdiği bildirilen bir siber güvenlik firmaları listesi dolaşıyor… Tarafınızdan bu listedeki firmaların FETÖ ilişkili olduğu ve bu nedenle çalışılmaması gerektiği uyarısı yapıldığı kaydediliyor.Uzunca bir süredir “kişisel verilerin” derin webde satıldığını da görüyoruz.. Yani ülkemizde bir siber güvenlik sorunu olduğu bilinen bir sorun.Bu kapsamda şunları sormak istiyorum;1. Bu listedeki firmalara bakıldığında, bazı şirketler hakkında bir kaç yıldan beri “duyum” şeklinde konuşulan FETÖ iddiaları zaten vardı. Bu liste neden daha önce bir tarihte değil, şimdi gönderildi?2. Bu listedeki firmaların danışmanlık yaptığı özel ya da kamu firmalarına dair bir siber güvenlik ihlali ya da ihbarı mı var mıdır?3. Ya da bu firmaların halen suçlandığı ya da dava edilen siber güvenlik ihlali gibi bir olay/olaylar var mıdır?4. Bunu şu nedenle de soruyorum. Eğer dikkatle bakarsanız listedeki firmalardan 1-2 yıl önce kapananlar olduğunu göreceksiniz. Yani liste yeni değil. Peki neden daha önce değil de şimdi gönderdiniz? Asıl sorum budur; Kamuoyuna yansıyan (ya da yansımayan) büyük bir veya daha fazla siber saldırı için dikkatler başka yana mı çekilmeye çalışılıyor”5. Zaman zamanEPDK şeffaflık sitesinde görülen tüketim zıplamaları (ki sonraki günlerde yok oluyor) acaba bir güvenlik problem ile mi ilgili?6. Kritik altyapılara yapılacak siber saldırı konusu, son 10 yılda (Stuxnet olayının ortaya çıkması sonrası) çok yoğun olarak konuşuluyor. Şu anda genel anlamda enerji şebekelerine yani “kritik altyapılara yönelik” bir siber saldırı mı bekleniyor?
Tedarik Zinciri Saldırısı (Supply Chain Attack)
Çok müşterinin kullandığı yazılımın açığını bulmak, dünyadaki tüm hackerların amacı. Çünkü bir taşla çok kuş vurmak mümkün oluyor. Bunlara tedarik zinciri saldırısı deniliyor. En büyüklerinden birisi, 2020 yılındaki Solarwinds en büyük saldırıydı. Amerikan hükümet kurumlarının kullandığı bir yazılımdı. Büyük sıkıntılara ve endişelere neden oldu.
Bu saldırı türünü, ilk olarak 2017’deki Petya saldırısı ile duyduk. Petya yeni değildi, 2006’dan beri ortamdaydı ama saldırı türü yeniydi. Bu saldırıyı kullanarak çok sayıda firmaya Petya bulaştırıldı. Microsoft’un bir açığını kullanan saldırı, ilk olarak Ukrayna’ya, daha sonra ABD, Almanya ve Rusya dahil 64 ülkeye yayıldı. Etkilendiği raporlanan firmalar arasında, bankalar, liman şirketleri, enerji şirketleri gibi çok farklı sektörlerden firmalar vardı.
En çok hasar alanlardan birisi olan Maersk firması bu olaydan sonra uzun zaman kendisine gelemedi ve çareyi blockchain’e geçmekte buldu. Ancak daha sonra IBM ile yaptığı TradeLens Blockchain projesini de gerekli verimi yakalayamadığı gerekçesi ile terketti.
Tedarik Zinciri Saldırısı, çok sayıda müşterinin kullandığı yazılımlardaki açıkları tespit etmek ve oradan sızmak şeklinde yapılıyor. Ama yukarıda da belirttik. Bu tür bir açık bazen içerideki personel ya da birlikte çalışılan siber güvenlik firması da olabilir. O nedenle kimlerle çalıştığınıza her zaman dikkat edin.