Virüs yazarlarını takip etmek ve hatta daha önemlisi aleyhlerinde delil bulmak, bu konuyla ilgilenen hukuk yetkililerinin en zor işlerinden birisi. Siber suçluların yakalanması açısından değerlendirildiğinde, 2004 şu ana kadar en çok tutuklanmanın ve ceza vermenin gerçekleştiği yıl oldu ama Fin’li güvenlik firması F-Secure’ün bildirdiğine göre virüs yazarlarının sayısında kayda değer bir düşme olmadı.
F-Secure Anti virüs araştırma direktörü Mikko Hypponen; “Virüs yazarlarından tutuklananların hemen hemen hepsi, bu işi hobi düzeyinde yapan 20 yaş altı gençler. Bizim daha çok ilgilenmemiz gerekenler ise bu işi para için yapanlar ve profesyoneller” diyor.
F-Secure, 2004 yılında güvenliği ilgilendiren 3 ana eğilim olduğunu bildiriyor. Phishing saldırılarında kitlesel artış, açık kaynak virüslerinin girişi ve para kazanma amaçlı virüs yazma.
2004’ün, 6 büyük virüs akımını yani — Bagle, MyDoom, Netsky, Sasser, Korgo ve Sober –‘i düşünürsek 3 tanesi özel amaçlı tasarlanmıştı.
MyDoom ve Bagle’ın ve yarattıkları lejyonerlerini (bulaşan asker makinalar) amacı zombi* spam makinaları yaratmaktı. Yıl içinde Microsoft.com ve SCO.com sitelerine yaptığı saldırılarla (denial-of -service – DDoS) bu virüs milyonlarca $ zarara neden oldu. (Bkz : MyDoom-C Microsoft’u Vurdu)
Dünya çapındaki döküntü mail trafiğinin artması spam yayıcılara uygun bir platform sağlıyor. F-Secure’ün verdiği sayılara bakılırsa, MyDoom.A, yayılmaya başladığı dönemde tüm e-mail trafiğinin % 10’unundan sorumlu olduğu bir tepe nokta yakalamıştı.
Her iki virüsün de Mitglieder proxy Trojan kullanması nedeniyle yetkililer bu 2 virüsün aynı grup tarafından yaratıldığını düşünüyor. Bagle.A, Trojan’ı bir web sitesinden yüklüyor ve MyDoom.A bulaşmış makinalara bir backdoor** kuruyordu.
Ayrıca her iki virüs arasında bir çete savaşı gibi bir şey de söz konusuydu. Netsky, bir şeyler yüklediği bilgisayarlardaki Bagle proxy’nin bağlanması için gerekli tanımları (registry entry) siliyordu.
Yine F-Secure’e göre, Korgo virüsü ise kredi kart ve banka bilgileri elde etmek üzere yazılmıştı. Sasser kurtçuğu gibi Windows 2000 ve XP makinaları hedefliyordu. Rastgele IP adresleri tarayarak, yamalanmamış Local Security Authority Subsystem Service (LSASS) sistemini kullanan PC’leri buluyordu.
Spam miktarı hem şirketler, hem de bireyler için inanılmaz boyutlara yükseldi. Son dönemde toplam e-mail hacminin –mevsime, aylara göre– % 66 ile % 82 arasındaki bir miktarını artık para kazanma amaçlı spam mailler oluşturuyor.
CERT Koordinasyon Merkezi ekip liderlerinden Marty Lindner, spam ve phishing saldırılarındaki artışın 2004’ün en önemli eğilimlerinden birisi olduğunu belirterek; “Kötü insanlar neden hoş kodları yazmak için bu kadar uğraşıyorlar? Neden “Size Rolex Saat Öneriyoruz” ya da “Sizi kandırdık” demek için bu kadar çalışıyorlar” diyor.
Virüs yazarlarını yakalamak zor iş. Çok ilgi çeken bazı tutuklamalar oldu ama sayı olarak oranlanırsa çok az. Ağustos ayında Amerikan Adalet Bakanlığı “Slam Spam (Spam’i tokatlamak) Operasyonu”nun başarıya ulaştığını raporladı. FBI’dan Paul Bresson “Tutuklamalarda artış varsa da çok çok az. kaynaklarımızı neler olduğunu ve büyüklüğünü anlamaya ayırıyoruz. Ve hala daha çok kaynak ayırmalıyız” diyor.
İnternet’in uluslararası olması,kanun güçlerinin çoğu zaman sınırlar ötesi uzun süren takipler yapmalarına neden oluyor. Amerikan Federal Ticaret Komisyonu sınır ötesi haberleşme için yardımda bulunuyor ama virüs yazarları konusu hala karanlık noktalar taşıyor.
Hypponen, virüs yazarları ya da spam yapanları takip konusunda ne zaman kanun güçleri ile konuşsa, Romanya, Bulgaristan, Belarus ya da Litvanya türü ülkelere ulaşan izlerden söz edildiğini duyduğunu aktarıyor. Bu ülkelerde yerel işbirliği bulmanın zorluğunu aktarıyor.
Hypponen “Kötü insanlar spam ve virüsleri nasıl yönlendireceklerini biliyorlar. 6, 7 hatta 8 farklı ülkeden ve özellikle de Çin, Kuzey Kore ve Güney Pasifik’teki bazı adalardan geçiriyorlar. Böylece yetkililerin takibini zorlaştırıyorlar” diyor.
Örnek olarak da, geçenlerde bir Rus fabrikasını vuran ve Kuweyt’ten yönlendirilen bir olayı aktarıyor. Fabrika’daki bilgisayarlara bulaşan virüs
Afrika kıyılarındaki bir küçük adadan kayıt edilen bir web sitesinden kod’lar yüklemeye başlıyor. Aslında gerçek web sunucu da bu makina da değildi. İsveç üzerinden Ürdün’e kayıtlı bir sistemdi. Rusya’daki bulaşmış makina, Ürdün’den kodları aldıktan sonra Amerika’daki CNN’nin chat sunucusu IRC chat sistemi ile bağlanıyordu.
Hypponen, CNN’i ve ilgili web sunucuyu yayınlayan ISS’i arayıp operasyonu kesmenin işin kolay tarafı olduğunu ama suçluyu yakalamanın zor olduğunu söylüyor.
Hypponen “Rus fabrikası polisi arasaydı, Rus polisi bu virüsü dünya çapında başarıyla takip etmek nasıl mümkün olacaktı. Ve Küweyt’li saldırganları tutuklamak nasıl mümkün olacaktı?” diye soruyor.
| Yakalanan Virüs Yazarları | |||
|---|---|---|---|
| Ay | Ülke | Sonuç | |
| Kasım | Rusya | 29A virüs grubu hapse atıldı | |
| Ağustos | USA | Blaster.B Yazarı itirafta bulundu | |
| Temmuz | Rusya | 3 DDoS hacker tutuklandı | |
| Temmuz | İspanya | Cabrotor arka kapı virüs yazarı hapse atıldı | |
| Haziran | macaristan | Magold virüs yazarı hapse atıldı | |
| Haziran | Finlandiya | VBS/Lasku virüs yazarı tutuklandı | |
| Mayıs | Taiwan | Peep backdoor yazarı tutuklandı | |
| Mayıs | Kanada | Randex varyant yazarı tutuklandı | |
| Mayıs | Almanya | Agobot varyant yazarı tutuklandı | |
| Mayıs | Almanya | Sasser & Netsky yazarı tutuklandı | |
| Kaynak: F-Secure | |||
* Hacker’lar tarafından avlanarak (virüs bulaştırılarak, içine belli programlar yüklenen), kontrol altına alınan ve gerektiğinde belli bir hedefe saldırı amaçlı kullanılan bilgisayarlar.
** Arka kapı; trapdoor (tuzak kapısı) olarak da adlandırılır. Bir programa, online servise ya da bilgisayara ulaşmanın arka yolu. Bir programcı tarafından yazılır. Güvenlik açısından önemli bir risk getirir.
Kaynak : 