11 Haziran 2015 Perşembe
Siber Savaş Sanatı
Merhaba,
İnsan oğlunun ilk savaşının ne zaman ve kimler arasında olduğu antropologlar ile tarihçiler arasında süregelen büyük bir tartışma konusu olmuştur. Bu konuda kesin ve ortak bir görüş yoktur. Ancak, her ne kadar böyle olsada bence ilk savaş herkesin bildiği Kabil'in Habil'i öldürmesi olayıdır...
Yaradılıştan hemen sonra insan oğlunun böyle bir eylemde bulunması ondan sonraki tüm nesiller için vahşetin DNA'larımızda var olduğunun bir kanıtıdır. Her ne sebepten dolayı olursa olsun, birine zarar vermek hatta son nokta olarak karşısındakinin yaşamına son vermek çok kötü ve vahim bir olaydır. Malesef ki dünya son bulana kadar bu ve benzeri savaşlar devam edecek ve her zaman olduğu gibi ezilenler hep masumlar olacaktır.
Peki önce kendimizi korumak ve sonrasında diğer insanlara yardımcı olabilmek için şimdi ve bundan sonraki savaşlarda neler yapmalıyız? Daha çok ok ve mızrak mı üretmeliyiz? Yoksa daha büyük toplar döküp etrafımıza korku mu salmalıyız? Taktir edersiniz ki bunların hiç biri şimdi ya da yarın bizi gireceğimiz savaşlardan koruyamaz ve kurtaramaz.! Peki ne yapmalıyız?
Cevap; kesinliklikle siber dünyada.!
Teknolojinin gelişmesiyle her geçen gün bilgisayar ve internet bağımlılığımız katlanarak artmakta. Özellikle İnternet'in icadıyla her şeye ulaşma ve kontrol etme kolaylığı insanları cezbetmekte. Artık insanlar daha çok şeyi "klavye" ya da "mouselarıyla" kontrol etmek istiyorlar. Bu arada şunu da eklemeden geçemeyeceğim; herkes interneti askeriyenin icadı olarak bilmekte. Oysaki internetin icadı 60'lı yıllarda MIT, Stanford ve Berkeley Üniversitelerinde okuyan zamanın hippie'lerinin eseridir...
1990'lı yıllarda internet hep iyi amaçlara yönelik olarak kullanıldı. Daha sonraları ise Kabil'in torunları bunuda kendi kötü amaçları için kullanabileceklerini keşfettiler. İlk olarak teröristler istihdam amaçları için interneti kullanmaya başladılar.
Aslında bu siber alemi alenen ateşleyen ilk kıvılcımlardan biri olmuştu. Dünya üzerinde yaklaşık 4.29 milyar dahili internet adresi olduğu hasap edilmekte ve bu adresler ülke savunmasından evimizde ki klimaları kontrol etmeye kadar her şey için kullanıldığına göre, ortada inanmılmaz büyük bir güvenlik sorunu olduğu çok net bir şekilde gözükmektedir. Örneğin dünyada bu soruna en çok maruz kalan ülke, nüfusu yaklaşık 400 bin olan Estonya dır. Çünki Estonya dünya da nufusuna paralele olarak en fazla internete dayalı olarak çalışan ülkelerin başında gelmektedir. Bu durum ise onu siber hedef tahtasının tam ortasına koymaya yetmektedir. Estonya'ya karşı ilk büyük çaplı yapılan saldırı 27 Nisan 2007 tarihinde olmuştur. Bunun sonucu olarak en fazla kullanılan internet siteleri birer birer çökmeye başlamış, online bankacılık sistemleri, gazetelerin web sayfaları ve devletin sunduğu tüm web hizmeteri kullanılamaz hale gelmiştir. Estonya ilk anda bunun kızgın yada kendini bilmez bir kaç hacker'ın saldırısı olarak nitelemiş ancak saldırıların ardı arkası kesilmemiş ve ülkenin en büyük bankası olan Hansabank tamamen etkisiz hale getirilmişti. Bu saldırılar haftalarca devam etmiş ve ülkenin iletişime ait tüm sistemleri kulllanılamaz halde bırakılmıştı. Dünyada ilk kez bir ülke bu sorunu NATO'nun en yüksek organı olan Kuzey Atlantik Konseyine götürmüştü.!
Evet, görünen o ki savaş sahası ve savaş aletleri tamamen değişmişti ve artık atlı süvarilere yada güçlü kuvvetli gladyatörlere gerek kalmamıştı. Siber savaşın en güçlülerinden olan Amerika ve Çin bu konuda hem ülke içinde, hem de ülke dışında bir çok faliyetlerde bulunmaktalar. Örneğin Çin, bir çok siber savaşçı yetiştimekte ve bunları daha ilk okul düzeyinde eğitmeye başlamaktadır. Bu öğrenciler daha sonra ortaokul ve lisede bilgisayar programlama ve donanım dersleri görmekte en iyileri ise mezun olduktan sonra otomatik olarak Pyonyang'da bulunan otomasyon Üniversitesi Komutanlığı adını verdikleri yere gitmektedirler. Bu okulun tek hedefi, düşmanların bilgisayar ağlarının nasıl hack edileceğidir. Şu ana kadar bilenen 700 kadar öğrencinin burada okuduğudur. Amerika ise 1995 yılında Ulusal Savunma Üniversitesi ilk siber savaşçı mezunlarını vermişti. 2009 yılında ise BD donanması kendine bir siber muharebe birimi kurmuştur. Bu konun önemini belirtmek için belkide ABD hava kuvvetleri Siber Uzay Operasyonları Görev Gücünün yaptığı şu açıklamayı dikkatlice okumak yeterli olacaktır.
"Siber uzayda savunmadaysanız, geç kaldınız. Siber uzayda baskın değilseniz, başka alanlarda baskın çıkamazsnız. Gelişmiş bir ülkeyseniz ve siber uzayda saldırıya uğrarsanız, yaşamınız anında durur."
Sanırım çok net bir yazı.
"... Yaşamınız Anında Durur."
Çin yine bu konuda çok önemli bir adım daha attı ve bilinen hiç bir işletim sistemini kendi ağarında çalışır durumda olmasını istemedi ve Kylin isimli kendi işletim sistemini yazdı. Ayrıca bir adım daha ileri giderek Green Dam ve Great Firewall of China olarak adlandırdıkları iki güvenlik sistemi kurarak siber savaş esnasında tüm ülkeyi bloke ederek kendini güven altına almayı sağlayacak güçlü yapıyı oluşturdu.
ABD istihbarat servisinin elindeki bilgilere göre, dünyadaki otuz devlettin hatırı sayılır siber savaş birimi bulunmakta. Bunlardan bazıları; Tayvan, İran, Avustralya, Güney Kore, Hindistan, Pakistan... Tabi burada Rusya'dan söz etmeden olmaz. Rusya için ise şöyle diyorlar; gerçekten iyi Rus hacker'lar ağlara girmekte hiç zorlanmıyorlar. Ağ sağlayıcıları İnternet bağlantılarını kestikleri zaman dahi ağdan içeri sızabiliyorlar.!
Benim çocukluğumda şöyle derlerdi "Millet çıktı aya, sen kaldın yaya".
Görülüyor ki malesef biz kaldık yaya.
...
Peki biz Türkiye olarak bu işin neresindeyiz? Bu konuya ne kadar önem veriyoruz ve bunun için yetiştirdiğimiz bir ekibimiz var mı? Evet, bizde de çok iyi hacker'lar var. Ancak bir gün ülke siber savaş konumuna gelirse kim elini taşın altına sokacak?
Daha üzerinden çok geçmedi 31 Mart 2015 tarihinde genel bir elektrik kesintisi yaşanmıştı ve bunun sonucu olarak;
metrolar durdu,
trafik lambaları çalışmadı,
pek çok fabrikada üretim durdu,
...
Peki bu kesinti bir hafta yada bir ay sürseydi ? Eminim sonuçlarını düşünmek bile istemezsiniz.
Her ne sebepten dolayı olursa olsun yaşanılan bu kesintinin siber savaş zamanında başka bir ülke tarafından bize yapılmaması içten bile değil. Bu durumda ne yapacağız? Hani topunuz, tüfeğiniz? Nerede özel ordunuz? Savaşan uçaklarınız nerede? En keskin nişancılarınız, esip kavuran akıncılarınız nerede? Her geçen gün bir değil, yüz belki de bin adım geri gidiyoruz...
"Yurdu savunmanın en ucuz yolu eğitimdir" demiş Buckel.
Bizde bir an önce eğiteme, eğitilmiş insanlara önem verilmeli ve bu konuda yarın değil hemen şimdi bir çözüm oluşturulması için çok ama çoook ciddi çalışmalara başlanması gerekmektedir.
Dünya üzerinde artık her an bir siber savaş yaşanmakta.
Bunları görmek yada takip etmek için aşağıdaki adrese bakabilirsiniz.
http://map.ipviking.com
Saygılarımla,
@ziz BİLGİLİ
25 Mart 2015 Çarşamba
Nerede O Eski FATURA'lar ? !!!
"Silah Çıktı Mertlik Bozuldu" demiş atalarımız.
Eskiden faturuları getiren postacı amcalar vardı. Onlar bir mahallenin tüm insanlarını bire bir tanır kimi zaman bazı evlere o faturaları belkide götürmek istemezlerdi... Hatta onlar için 9 Ekim günü dünya postacılar günü bile belirlenmişti.Ne zamamki elektronik posta çıktı işte o andan itibaren postacı amcalar sanki orta çağda yaşamış fantastik figürlermiş gibi hatırlanır oldu. Şimdilerde ise sanal dünyanın postacıları boy göstermeye başladı.!
...
CryptoLocker, Türkiye'deki Adı: Fatura Virüsü
Bir fidye yazılımı (ransomware) tarafından verileriniz şifrelenirse ki, bu son zamanlarda binlerce kişinin yüz binlerce dolar fidye vermesine sebep oldu. Amacının bilgisayarınıza zarar vermek için değil, tamamen karşı tarafı maddi anlamda zarara uğratmak amacıyla geliştirilmiştir. Bu türden zararlılar bulaştıkları sistemde mevcut bulunan önemli dosyaları kırılması imkansıza yakın bir algoritma ile şifreleyerek sizden verilerinize karşı bir ücret talep etmektedir. Kasım 2014’te yapılan bir araştırmaya göre, Avrupa genelinde tespit edilen Cyptolocker olaylarının %22’si Türkiye’de olmuştur.
Tespit Edildiği Tarih: 2013 Eylül Ayı
Bilinen diğer sürümler/isimler: Trojan.Gpcoder.H [Symantec], CryptLocker.B [Norman], Trojan:Win32/Crilock.A [Microsoft], TROJ_CRILOCK.NS [Trend], Trojan.Ransomcrypt.F [Symantec]
Tür: Truva atı (Truva atları, kullanıcı tarafından izin verilmeyen işlemler gerçekleştiren kötü amaçlı programlardır.) Bu işlemler arasında şunlar bulunabilir; Veri silme, Veri engelleme, Veri değiştirme, Veri kopyalama, Bilgisayarların veya bilgisayar ağlarının performansını düşürme.
Etkilenen Sistemler: Windows XP, Windows Vista, Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008
Truva atları, diğer bilgisayar virüsleri ve solucanlarının aksine kendi kendilerine çoğaltmazlar.
Cryptolocker Hangi Dosyaları Hedef Alır?
Cryptolock kullanıcı tarafından oluşturulmuş yada kullanıcı için bilgi barındırması muhtemel olan dosya türlerini şifreler.
Bunlar şu an için aşağıdaki gibidir;
*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.img, *.indd, *.jpe, *.jpg, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.tif, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
Bu tip dosyaların tamamını şifreleyerek dosya uzantısına “.sifreli” ibaresini eklemektedir.
Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir.! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği gözlemlenmemiştir.
Şifreyi çözmek için gerekli olan tekil (“unique” ve “single”) anahtar uzakta bir sunucu üzerinde saklanmaktadır. Ödeme zamanında yapılırsa bu anahtar ilgili sisteme iletilmekte ve şifre çözülmektedir. Cryptolocker tarafından istenilen ücret/fidye Bitcoin, MonyPak, Ukash, cashU yada PaySafeCard gibi, alıcının kimliğini koruyan “kripto para” ile talep edilmektedir.
Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.
Güncelleme 12.03.2015
TT-Net, Türk Telekom, TurkCell derken en son PTT kurumundanmış gibi geldi.
Bunun bir sonrası hangi kurum olur bilinmez ancak lütfen önleminizi şimdiden alın.
1 - Mutlaka Düzenli Yedek Alın...!!!
2 - Alınan Yedeği Aynı Ağ Ortamında Başka Bilgisayarlarca Erişilebilecek Durumda Bırakmayın.!!!
3 - Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu mutlaka yasaklayın.
4 - Yada Ülke olarak tüm Rusya bloklarını engelleyin.
5 - En önemlisi bu konuda bir uzmandan destek alın (sonradan sahtekarlarla muhattap olmayın...!).
Her şeye rağmen bu kötü olay başınıza geldi ve bu tip sahtekarlara ücret vermediniz diyelim ama sonuçta dosyalarınızada ihtiyacınız var. Peki şimdi ne olacak? Hiç çözüm yok mu?
Şunları yapabilirsiniz;
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz.
https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle
Yada, bizzat test ettiğim aşağıdaki yöntemi deneyebilirsiniz.
Burada benim kullandığım program Access Data'nın FTK programı.
(Bunun için mutlaka bir profesyonelden destek almalısınız.)
Şifrelenen diskin özel imaj programlarıyla yedeğini alın.
Alınan imajı FTK (yada muadili bir başka program) ile açın.
Veri kurtarma (data recovery) ve veri kazıma (data carving) işlemleri için set edin.
İnceleme ve kurtarma işlemini başlatın (diskin büyüklüğüne ve makinenin performansına bağlı olarak bu işlem yaklaşık 4-5 saat sürmektedir.) İşlem bitiminde unallocated clusters, slack space ve file slack gibi alanları inceleyin.
Benim test sonuçlarımda tüm resim ve PDF dosyalarım eksiksiz kurtuldu.
Bununla birlikte tüm ofis dökümanlarımın %98'e yakınını da kurtarmayı başardım.!
Saygılarımla,
@ziz BİLGİLİ
Eskiden faturuları getiren postacı amcalar vardı. Onlar bir mahallenin tüm insanlarını bire bir tanır kimi zaman bazı evlere o faturaları belkide götürmek istemezlerdi... Hatta onlar için 9 Ekim günü dünya postacılar günü bile belirlenmişti.Ne zamamki elektronik posta çıktı işte o andan itibaren postacı amcalar sanki orta çağda yaşamış fantastik figürlermiş gibi hatırlanır oldu. Şimdilerde ise sanal dünyanın postacıları boy göstermeye başladı.!
...
CryptoLocker, Türkiye'deki Adı: Fatura Virüsü
Bir fidye yazılımı (ransomware) tarafından verileriniz şifrelenirse ki, bu son zamanlarda binlerce kişinin yüz binlerce dolar fidye vermesine sebep oldu. Amacının bilgisayarınıza zarar vermek için değil, tamamen karşı tarafı maddi anlamda zarara uğratmak amacıyla geliştirilmiştir. Bu türden zararlılar bulaştıkları sistemde mevcut bulunan önemli dosyaları kırılması imkansıza yakın bir algoritma ile şifreleyerek sizden verilerinize karşı bir ücret talep etmektedir. Kasım 2014’te yapılan bir araştırmaya göre, Avrupa genelinde tespit edilen Cyptolocker olaylarının %22’si Türkiye’de olmuştur.
Tespit Edildiği Tarih: 2013 Eylül Ayı
Bilinen diğer sürümler/isimler: Trojan.Gpcoder.H [Symantec], CryptLocker.B [Norman], Trojan:Win32/Crilock.A [Microsoft], TROJ_CRILOCK.NS [Trend], Trojan.Ransomcrypt.F [Symantec]
Tür: Truva atı (Truva atları, kullanıcı tarafından izin verilmeyen işlemler gerçekleştiren kötü amaçlı programlardır.) Bu işlemler arasında şunlar bulunabilir; Veri silme, Veri engelleme, Veri değiştirme, Veri kopyalama, Bilgisayarların veya bilgisayar ağlarının performansını düşürme.
Etkilenen Sistemler: Windows XP, Windows Vista, Windows 2000, Windows 7, Windows Server 2003, Windows Server 2008
Truva atları, diğer bilgisayar virüsleri ve solucanlarının aksine kendi kendilerine çoğaltmazlar.
Cryptolocker Hangi Dosyaları Hedef Alır?
Cryptolock kullanıcı tarafından oluşturulmuş yada kullanıcı için bilgi barındırması muhtemel olan dosya türlerini şifreler.
Bunlar şu an için aşağıdaki gibidir;
*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.img, *.indd, *.jpe, *.jpg, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odc, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pdf, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.sr2, *.srf, *.srw, *.tif, *.wb2, *.wpd, *.wps, *.x3f, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx
Bu tip dosyaların tamamını şifreleyerek dosya uzantısına “.sifreli” ibaresini eklemektedir.
Test ve deneyler sonucunda; zararlı yazılımın yanlışlıkla ya da sehven bilgisayarda çalıştırılması durumunda, zaman kaybedilmeden bilgisayarın kapatılması gerekmektedir.! Böylece zararlı yazılımın bilgisayardaki dosyaların tamamına zarar vermesi engellenmiş olacaktır. Bilgisayarın tekrar açılması durumunda, zararlı yazılımın yeniden çalışarak kaldığı yerden devam etme özelliği gözlemlenmemiştir.
Şifreyi çözmek için gerekli olan tekil (“unique” ve “single”) anahtar uzakta bir sunucu üzerinde saklanmaktadır. Ödeme zamanında yapılırsa bu anahtar ilgili sisteme iletilmekte ve şifre çözülmektedir. Cryptolocker tarafından istenilen ücret/fidye Bitcoin, MonyPak, Ukash, cashU yada PaySafeCard gibi, alıcının kimliğini koruyan “kripto para” ile talep edilmektedir.
Güncelleme 09.03.2015:
Virüs an itibarıyla android cihazları etkilemeye ve tamamen çalışamaz hale getirmeye başlamıştır.
Güncelleme 12.03.2015
TT-Net, Türk Telekom, TurkCell derken en son PTT kurumundanmış gibi geldi.
Bunun bir sonrası hangi kurum olur bilinmez ancak lütfen önleminizi şimdiden alın.
1 - Mutlaka Düzenli Yedek Alın...!!!
2 - Alınan Yedeği Aynı Ağ Ortamında Başka Bilgisayarlarca Erişilebilecek Durumda Bırakmayın.!!!
3 - Rusya ile çalışan bir firma değil iseniz, 178.208.0.0/16 bloğunu mutlaka yasaklayın.
4 - Yada Ülke olarak tüm Rusya bloklarını engelleyin.
5 - En önemlisi bu konuda bir uzmandan destek alın (sonradan sahtekarlarla muhattap olmayın...!).
Her şeye rağmen bu kötü olay başınıza geldi ve bu tip sahtekarlara ücret vermediniz diyelim ama sonuçta dosyalarınızada ihtiyacınız var. Peki şimdi ne olacak? Hiç çözüm yok mu?
Şunları yapabilirsiniz;
Tubitak tarafından geliştirilen “Decrypter” uygulaması ile günlük 5 dosya halinde şifrelenmiş dosyalarınızı açabilirsiniz.
https://zar.sge.gov.tr/UploadSample/ZararliYazilimYukle
Yada, bizzat test ettiğim aşağıdaki yöntemi deneyebilirsiniz.
Burada benim kullandığım program Access Data'nın FTK programı.
(Bunun için mutlaka bir profesyonelden destek almalısınız.)
Şifrelenen diskin özel imaj programlarıyla yedeğini alın.
Alınan imajı FTK (yada muadili bir başka program) ile açın.
Veri kurtarma (data recovery) ve veri kazıma (data carving) işlemleri için set edin.
İnceleme ve kurtarma işlemini başlatın (diskin büyüklüğüne ve makinenin performansına bağlı olarak bu işlem yaklaşık 4-5 saat sürmektedir.) İşlem bitiminde unallocated clusters, slack space ve file slack gibi alanları inceleyin.
Benim test sonuçlarımda tüm resim ve PDF dosyalarım eksiksiz kurtuldu.
Bununla birlikte tüm ofis dökümanlarımın %98'e yakınını da kurtarmayı başardım.!
Saygılarımla,
@ziz BİLGİLİ
Kaydol:
Kayıtlar (Atom)