Nedir Bu Stuxnet?
Bir virüs fiziksel zarar verebilir mi sorusunun en önemli cevabıdır aslında Stuxnet. IoT yazımda, nesneler internete bağlandıkça güvenliğin daha çok ön planda olması gerektiğini belirtmiştim. Aslında Stuxnet, henüz IoT cihazlar bu kadar yaygın değilken ortaya çıkan bir virüstür. İran Devleti'nin bir karar alıp nükleer silahlanma adımını atmasından sonra belli başlı devletler Amerika, Rusya, Çin, Almanya gibi güçler bu karara karşı olduklarını İran'a ambargo uygulayarak göstermişlerdi.İran bu ambargolara rağmen nükleer santrallerini kurmayı başarmıştı.
Stuxnet virüsü, bazı kaynaklara göre İsrail ve ABD'nin İran'ın nükleer çalışmalarını sekteye uğratmak için tam 5 senede yazdırdıkları, programladıkları bir solucan yazılımıdır. Stuxnet virüsü, endüstriyel kontrol sistemlerinin ve dış dünyaya kapalı sistemlerin de hedef olabileceğini göstermesi açısından siber güvenlik konusunda önemli bir yere sahiptir.
Virüs İran'a Nasıl Ulaştı?
Virüs'ün elektrik hatları üzerinden bulaştığı söylense de (ki bana göre efsane) asıl bulaşma olayının bir ajan tarafından nükleer santralde çalışan bir mühendisin kişisel bilgisayarına usb bellek yoluyla virüsü yüklemesinin ardından bulaşmıştır. Virüsün tanınması durumu da ilginç bir şekilde ortaya çıkmaktadır. Stuxnet, normalde tespit edilemeyecekken, farkında olmadan update edilince virüste bug(hata) meydana geldi. Mühendis kişisel bilgisayarını evde internete bağlayınca virüs internete yayılmıştır.
Kim Ortaya Çıkardı?
İnternete yayılan virüs Belaruslu VirusBlokAda adlı bir güvenlik şirketi tespit etmiştir. Kaspersky ve Symantec virüs ilgili teşhis koymak için ciddi yol katetmişlerdir. Symantec, virüsün içinde kullanılan bazı kelimelerden dolayı ve bulaştığı sürücüden dolayı virüsün ismini Stuxnet olarak belirlemiştir. Kaspersky virüsle ilgili, "profesyonel bir virüs, endüstriyel kontrol sistemlerini sabote etme amaçlı programlanmıştır." açıklamasını yaparak bizzat bu işin organize bir şekilde planlandığını belirtmiştir. ABD ve İsrail yarım ağızla da olsa bu suçlamaları reddetmektedir.
Virüs İncelemesi
Stuxnet, dünyanın ilk endüstriyel sistemlere saldıran virüsü olmasının yanında ilk plc rootkit'i yapan virüsüdür. Plc tanım olarak aslında programlanabilir yongalardır. Örneğin çevremizde bulunan trafik lambaları, buzdolabı, çamaşır makinesi gibi aletlerin içerisinde kontrol sürücüleri bulunmaktadır. Bu kontrol sürücüleri de plcdir.
Stuxnet, bilgisayara bulaştıktan sonra Siemens'in step 7 yazılımını bilgisayarda arar. Step 7 yazılımı da scada yani plclerin tümünü kontrol edebilen cihazdır diyebiliriz. Yani ana sistem. Stuxnet, step 7 yi bulduktan sonra ana sistemi çökertmektedir. Daha sonra, su pompalarını, santrifüjleri normal çalışma frekanslarının daha üzerine çıkararak patlatıp fiziksel olarak zarar vermektedir. Stuxnet, incelemelere göre 2005 yılında programlanmaya başlanmış olup 2007 yılında sistemlere bulaşmıştır. Fakat ortaya çıkması 2010 yılını bulmuştur. Bu virüsün belirlenememesinin nedeni, tamamen yasal bir program gibi programlanmasıdır. Normalde virüsler çok küçük boyutta olmaktadır. 7 kb, 10 kb gibi... Fakat stuxnet'in boyutu 500 kb. bulmaktadır. Virüs olamayacak kadar büyük bir boyut. Bulunamamasının nedenlerinden biri de bir virüs gibi davranmamasıdır. Virüs c ve c++ diliyle yazılmıştır. İşin ilginç bir tarafı da, stuxnet'in saldırmak için kullandığı sürücüler Realtek firmasının yasal imzasını kullanmıştır. Burada iki ihtimal ortaya çıkmaktadır. Birincisi, bu imzaların çalınmış olma ihtimali, ikincisi ise bu sürücülerin sahipleri de bu işin içindedir. İki ihtimalinde sonucu bence oldukça vahimdir. Eğer çalınmışlarsa burada sertifika güvenliği sorunu da ortaya çıkmaktadır. Diğer durum da zaten ortadadır. Sonuç olarak bu virüsün çok profesyonel bir şekilde hazırlanmış olduğudur. Virüs, Windows'un zeroday açıklarını kullanarak yayılmıştır. Hatta içerisinde 4 tane zeroday açığı bulundurmaktadır. Zeroday tanım olarak, yazılımın geliştiricileri tarafından henüz farkına varılmamış ve yazılımın kullanıma sürüldüğü açıklardan faydalanan saldırılardır. Normalde beyaz şapkalı hackerlar bu tür açıklarda tespit ettikleri zaman raporlama yapmaktadırlar. Fakat bu açıkları kötü niyetli hackerlar tespit ettiklerinde karaborsadan hükümetlere satabilmektedirler. Nitekim Stuxnette de aynı durum gerçekleşmiştir. Windows bu açıkların yalnızca birini anca 2 ay sonra kapatabilmiştir.
Virüsün Etkileri
İran, Natanz Nükleer Tesisleri aktif durumda olmadığı için çok fazla zarar görmedi. Fakat çalışmaların aksadığını söylemek mümkün. Hatta İran'da normalde senede bir değiştirilen santrifüjler ayda bir değiştirilmeye başlandı. İran bu olaydan sonra siber güvenliğe ciddi bir şekilde yatırım yapmıştır. İran Stuxnet olayından sonra ülkedeki hackerlara, Devrim Muhafızlarına katılmaya çağırdı. Şu anda dünyanın en güçlü siber ordularından birine sahiplerdir.
Önlem Olarak Ne Yapılabilirdi?
Bazen farkında olmadan çalışanlar iş yerlerinden fotoğrafları sosyal medyada paylaşabilmektedir. Aslında bu bile bir güvenlik sorunudur. Düşünsenize bir banka çalışanısınız ve çalıştığınız ortamı sosyal medyadan paylaşıyorsunuz.O fotoğrafta kağıt üzerinde bankanın ağına bağlandığınız kullanıcı adınız ve şifreniz görülmekte. Kötü niyetli hackerlar bunu farkedip bu açıktan yararlanabilirler. İşte İran'da da böyle bir olay gerçekleşmişti. O dönemin Cumhurbaşkanı Ahmedinejad nükleer tesisleri gezerken, orada bulunan biri fotoğrafını çekip sosyal medyada paylaştı. Fakat orada bir bilgisayardan santrifüjlerin nasıl dizildiğine dair bir fotoğrafta o karenin içindeydi. Amerika ve İsrail'in bunu da kullandıkları belirtiliyor. İlk alınacak önlemlerden biri gizliliktir.
Bir diğer konu da Stuxnet, Windowsta bulunan zerodayleri kullanarak yayılmıştır. İran nükleer tesislerinde ya da herhangi bir ülke çapında önemli bir yerde Windows kullanıyorsanız tehlikede olabilirsiniz. Çünkü Windows size ait değildir. Bunun yerine Linux ya da UNIX sistemler kullanabilirsiniz. Kernel üzerine sizin yazacağınız özgün bir işletim sistemi olmalıdır.
Stuxnet, usb bellekle bulaşmıştı. Bir başka önlem olarak tanımadığımız bilmediğimiz cihazları bilgisayarımıza takmamalıyız. Bu tür cihazlardan sistemimize virüsler bulaşarak ciddi zararlar verebilmektedirler.
Uzmanlar zeroday ve bunun gibi açıklar için her zaman sistemlerimizi güncellememizi önermektedir. Çünkü her güncellemeyle birlikte bu açıklar kapatılmaktadır. Sistemimiz bu tür açıklara karşı daha sağlam hale gelmektedirler.
Siber Savaşlar
Günümüzde savaşlar sadece tankla tüfekle yapılmamaktadır. Siber savaşlar oldukça ciddi boyutlara gelmiştir. Rusya geçen senelerde Ukrayna'nın elektriğini bir siber saldırı ile kesip ciddi anlamda zararlar vermişti. Bugünler de gerilen İran-Amerika olayları askeri hamlelerin yanı sıra siber hamleleri de düşündürüyor. İranlı hackerlar, siber saldırılarla Amerika'dan intikam alacaklarını duyurmaktadırlar. Stuxnette de olduğu gibi siber saldırılarla fiziksel olarak da zarar verebilirsiniz. Ülkelerin elektriğini, su tesislerini, enerji istasyonlarını hackleyerek ciddi boyutta zararlar ortaya çıkabilmektedir. Geleceğin dünyasında bizi bu tür siber savaşlar beklemektedir. Ülkeler yatırımlarını, siber güvenliğe çevirmiş durumdalar. Dış kaynaklı hackleme faaliyetlerini önlemek için güvenlik altyapısını güçlendirme ve internet ağları konusunda ilgili kadrolarını eğitme yoluna gitmektedirler. İnternet artık ciddi bir güç!
Bu yazımda Stuxnet virüsünün ne olduğundan, nasıl bulaştığından ve önlemlerinden bahsetmeye çalıştım. Stuxnet'i daha iyi anlayabilmeniz için https://youtu.be/eQwd9nDAH7c adresinden belgeseli izlemenizi tavsiye ediyorum. Bir sonraki yazımda görüşmek üzere.
Hiç yorum yok:
Yorum Gönder