2017 yılında meydana gelen WannaCry isimli siber saldırıyı hatırlıyorsunuzdur. 150`den fazla ülkede 200.000’den fazla bilgisayarı enfekte eden saldırı.
Sadece İngiltere`de 92 milyon pounddan fazla zarara sebep olan saldırının dünya genelinde yaklaşık 6 milyar pounda mal olduğu Acronis tarafından bildiriliyor.
Karşımıza bir ransomware (fidye yazılımı) olarak çıkan WannaCry, hedef sistemlere genelde zararlı emailler ile bulaşır. Bu emaillere bir doküman ya da link eklenerek kullanıcının bu dokümanı ya da linki açması istenir. Kullanıcı istenileni yaptığı zaman dokümanın ya da linkin içindeki program harekete geçer. Harekete geçen bu program kullanıcının bilgisayarında ya da bilgisayarın içinde bulunduğu ağdaki diğer cihazlarda zafiyet aramaya başlar.
Eğer bu zararlı yazılım istismar edilebilecek bir zafiyet bulursa derhal istismara başlar ve kendisini hazırlayan bilgisayar korsanı ile enfekte olmuş bilgisayar arasında bir arka kapı oluşturur. Bu arka kapı üzerinden korsan isterse sistemden bilgi çalar, isterse de sistemi şifreleyerek kullanılmaz duruma getirir ya da her ikisini yapar.
WannaCry saldırısında istismar edilen zafiyet Microsoft Windows işletim sisteminde bulunan bir zafiyetti. İngiltere’nin sağlık sistemi olan NHS’ı durma noktasına getiren bu zafiyet Microsoft tarafından giderilmişti. Ancak Microsoft`un zafiyeti gidermesi yetmiyordu. Bu zafiyeti kapatacak güncellemelerin aynı zamanda NHS çalışanlarının bilgisayarlarına da uygulanması gerekiyordu. NHS önerilen güncellemeyi yapmamış ve tarihinin en büyük siber saldırısına maruz kalmıştı.
Bu olayın bir benzerinin önümüzdeki günlerde daha büyük etki yaratarak meydana gelmesi oldukça mümkün görünüyor. Bunu söylememin sebebi ise 10 Aralık 2021`de ortaya çıkan zero-day (sıfır gün) zafiyetidir.
Belirtilen tarihten bugüne bilişim dünyası internet üzerinden hizmet veren hemen her şirketin kullandığı bir program parçasında bulunan zafiyetle çalkalanmaya başladı. Bu zafiyet program parçasının gerek çok fazla kullanılması gerekse de istismarı kolay olması nedeniyle otorite olarak kabul edilen Amerika Ulusal Zafiyet Veritabanı (NVD) tarafından 10 üzerinden 10 önem derecesi ile numaralandırıldı.
Bu zafiyetten faydalanarak bir bilgisayar korsanı hedef sistemdeki ağı uzaktan tamamen ele geçirebilecek kabiliyeti elde edebilir. Bunun için saldırganın fiziki olarak sistem ağında olmasına gerek yoktur. Bu da özellikle devlet destekli siber korsan örgütlerinin iştahını kabartabilir. Çünkü saldırı sonucunda hedefteki ülke tarafından kendilerine karşı herhangi bir yaptırım yapılmayacağının farkındalar.
Log4j olarak bilinen bu program parçası bilişim dünyasında, sistemdeki logları (kayıtları) tutmak için kullanılır. Yazılım ile uğraşanlar hızlı bir şekilde işlem yapabilmek için bütün programı kendileri yapmak yerine başkaları tarafından hazırlanmış program parçacıklarını ya da kütüphaneleri alıp kendi programlarına entegre edebilirler. İşte log4j de böyle bir kütüphanedir. Yazılımcılar, böyle bir program parçasını kendileri yazmak yerine, onu ilgili web sayfasından indirip kullanırlar.
Zafiyetin ifşa olması ile birlikte bu program parçasının mimarları da aynı gün bir güncelleme yayınladılar ve programı kullananların en kısa sürede bu güncellemeyi yerine getirmelerini istediler. Fakat 14 Aralık 2021’de NVD tarafından yayınlanan rapora baktığımızda bu zafiyetin tam olarak giderilmediği ve aynı programa tekrar bir güncelleme yapıldığı görülebilir.
Uluslararası bir siber güvenlik şirketi olan ESET’in yayınlamış olduğu rapora göre bu zafiyetten yararlanmak için çok yüksek seviyede özellikle Amerika, İngiltere, Türkiye ve Almanya`yı hedef alan saldırı girişimleri var.
Böyle bir güncellemeyi yerine getirmek özellikle yılsonuna doğru yaklaşırken oldukça zor olacağa benziyor. Çünkü, şirketler yıl sonuna doğru change freeze olarak bilinen sistemi etkileyecek herhangi bir değişikliğin dondurulması sürecine girerler. Bu da şu demek oluyor, change freeze süreci bitinceye kadar çoğu şirket bu güncellemeyi erteleyebilir.
WannaCry saldırısı ile ilgili yapılan incelemelere bakıldığında sağlık hizmeti gibi hizmet veren kamu kuruluşları ve diğer kamu kurumları işletim sistemlerinin güncellemesinde oldukça yavaş davrandıkları görülüyor. Bu da korsanlar için çok büyük bir siber saldırı alanı oluşturuyor.
Görünen o ki Log4j’deki zafiyet de kolay bir şekilde giderilmeyecek ve bilgisayar korsanları ile bilişim sistemleri alanındaki iyi kullanıcılar arasında zamana karşı çok sıkı bir yarış önümüzdeki günlerde de devam edecek.
Bu program parçasını kullanan şirketlere, kamu kurum ve kuruluşlarına verilebilecek tavsiye, bu zafiyet tam anlamıyla giderilinceye kadar gündemlerinden düşürmemeleri olacaktır.
