Bilişim Dünyası 10 EKİM 2015 / 15:46

Farkındalık olmadan güvenlik olmaz

Haklayıcıların hedefi artık sadece para ve bu amaç için geliştirdikleri tehditler giderek çeşitleniyor. İşte bu nedenle herkeste farkındalık şart.

Finansal hizmetler başta olmak üzere haklayıcıların hedefindeki sektörlere yönelik saldırıları da giderek çeşitleniyor. Misal, işin içine mobilite girince bile riskler kat be kat artıyor. Bu konuda yorumlarını aldığımız F5 Networks Güvenlik Çözümleri Kıdemli Mimarı Alfredo Vistola, gelişen risk ortamını anlatırken, dikkat edilmesi gereken başlıklara da vurgu yaptı:

Gelişen riskleri nasıl tanımlıyorsunuz?

Benim temel odaklandığım konu müşteri tarafını hedef alan dolandırıcılık (fraud). Bugün birçok uygulama, tarayıcı tabanlı. Yani veri merkeziniz var, bu da genelde şirkette ve güvende. Peki ama müşteri tarafındaki güvenlik ne olacak? Bir taraftan müşteriyi bilgilendirmek, güvenlik risklerine dikkat çekip, sürekli onların da belli koruma adımlarını atmalarını beklemek kolay değil. Bir şirket olarak müşteri üzerinde etkiniz bu konuda zayıf. Siz bir banka olarak bu konuda uyarı yapsanız bile, birçok müşteri bu uyarıyı görmezden gelir, gereken yazılımı yüklemez. Ayrıca bugün hepimiz çok farklı cihazlara sahibiz. Mobil cihazların gelişimi ile mobil bankacılık da büyüyecek. Sırf bu durumda bile insanlar bankadan söz konusu güvenlik uyarısını aldıklarında bir değil, birçok cihaza yükleme yapacak, tüm bu cihazlarda virüs güncellemeleri gibi adımlar olacak. Ama genele baktığımızda insanlar bu tabloya ve gerekliliklere pek aldırmıyor. Asıl problem de bu.

Peki ya mobil uygulama riskleri?

Tarayıcı tarafındakine benzer bir tablo burada da karşımıza çıkıyor. Yani saldırı her noktada çeşitlenerek geliyor. Sonuçta riskin kaynağını bilmiyorsunuz. Ama bu saldırı türleri birbirine çok benziyor. Bir web uygulamaya girişte farklı trend vektörleri vardır ve birçok insanın bilmediği, aldırmadığı bir konudur bu. Bu anlaşılabilir, çünkü bu konuda engin bilgiye sahip olmak zorunda değiller. Ama en azından bağlantıya geçtikleri şirketin bu konuda farkındalığı olmak zorunda. Bir siteye girer, sağda solda gezinir, bir banka sitesiyse işlem yaparsınız. Phising siz bir web sitesini ziyaret etmeden önce de gerçekleşebilir. Yani birisi size e-posta gönderir, siz de bilmeden o e-postadaki linki veya bir sosyal medya platformunda size gösterilen bir reklama tıklar ve sahte siteye yönlendirilebilirsiniz. Bu süreçte phising hala orada ve böylece son yıllarda phising saldırıları katlanarak arttı.

Öte yandan, bir de bankanın gerçek sitesine girdiğinizde şifre logger’ları olabiliyor ve burada kötücül yazılım, özellikle Trojan ön planda. Bu da bir tarz phising ve işin içinde ağırlıklı Trojan’lar, ayrıca virüsler, casus yazılımlar var. Eğer sisteminize malware bulaştıysa, bunlar spesifik olarak bağlamı çalabilir. Bu tehditle karşı karşıya kalırsanız, karşı taraf şifre, kullanıcı adı, hangi sayfalarda neler yaptığınız gibi tüm detaylara da ulaşır.

Bu nasıl bir ilerleyişi kapsıyor?

Malware, kullanıcının gördüğü şeyi değiştiriyor. Yani tarayıcı üzerindeki kodun değişimi söz konusu. Bu belirttiklerimin hepsi de istemci tarafında olan saldırılar, sunucu tarafında değil. Bir bankacılık işlemi istemci tarafında manipüle edilebilir, hesap ismi, hesap numarası, para miktarı değiştirilebilir. Trojan’lar bu konuda çok iyi. PC’nizi uzaktan kontrol bile edebilirler. Saldırgan da phising’de gerçek siteyi kopyalar ve bunu farklı bir sunucuda konumlandırır. Size misal e-posta ile gelen bir linke tıklayarak, girdiğiniz tüm bilgilere saldırganın da sahip olmasını sağlarsınız. Bu tarz sitelerin kuruluş sürecini tanımlayan sistemler var. Bunlar ‘Hey birisi bir phising sitesi açıyor’ diyerek bankayı veya kurumu alarma geçirir. Finans ve telekom sektörleri para ile yakın temas içinde. Bu nedenle bu tarz riskler konusunda farkındalıkları da yüksek.

Phising kategorisinde riskler nasıl çeşitleniyor?

Bu başlıkta yer alan, ama bazı açılardan farklı olan yapılar var ve bunlar malware destekli. Eskiden phising, sizin PC’nizde bir malware bulundurmazdı. Sadece sahte bir web sitesi yeterliydi. Ama farklı bir yapı geçen yıl yaz sonunda Avrupa ve ABD’de ortaya çıktı. Örneğin eğer PC’nize virüs bulaştıysa, kullanıcı gerçek banka giriş sayfasına gittiğinde PC’deki bu malware bunu bir Proxy sunucuya, yani phising sitesine benzer bir siteye yönlendirebilir. Yani phising’de bankanın sitesine değil, başka bir siteye girersiniz. Bu bahsettiğim yapıda, siz kullanıcı olarak gerçek banka sitesine giderken, PC’nizdeki bir unsur sizi başka siteye yönlendirir. Kullanıcı açısından bu görünmez bir süreç. İnsanlar bunun SSL veya iki faktörlü tanımlama ile fark edilebileceğini düşünür, ama yeterli olmaz. Söz konusu malware tüm bu güvenlik adımlarını geçmeyi başarabilir. Bu yeni tarz bir Trojan.

Peki ya bu gelişen ve çeşitlenen risklere yönelik farkındalık?

Belirttiğim gibi, bu tarz yeni risklere karşı finans ve telko gibi sektörlerde farkındalık çok yüksek, ama yine de ‘herkes farkında’ diyemem. Birçoğu Avrupa’da olan büyük bankalar farkındalar. Çünkü hedefleniyorlar. Kullanıcı ise banka ile iletişimde olduğunu sanıyor, ama aslında Proxy sunucu ile bağlantı kuruyor ve şifre girdiği zaman bunlar saldırgana gidiyor. O da şifre, kullanıcı adı ve tek seferlik şifreye sahip olduğu için istediğini yapabilir. Görüştüğüm birçok bankada bu yüzden önemli zararlar oluştuğunu gördüm. Bunun en azından bu yıl için, yani daha tehlikeli bir yapı gündeme gelene kadar en tehlikeli Trojan’lardan olduğunu düşünüyorum. Ama bu bir.

Ya devamı?

Siz kullanıcı olarak site ziyaret ediyor veya bazı içerikleri indiriyorsunuz diyelim. PC’niz enfekte oluyor. Sonra banka veya e-ticaret sitesinin gerçek web sitesine girdiğinizde, PC’nizde duran malware, program tabanlı olduğu için HTML sayfasına kod ekler. Yani gerçek siteye girdiğiniz zaman, iki ek alan eklenmiştir bu malware tarafından. Bunu yapmak,  eğer sisteminiz enfekte olduysa çok çok kolay ve kullanıcının bunu fark etmesi de kolay değil. Malware ve Trojan’ların yapabileceklerinin pek fazla sınırı yok. Bir cihaz enfekte olduğunda, ona hedefli bir saldırı yapmak daha kolay hale geliyor. Bunlar uzun zamandır olan tehditler, ama bu seferkileri farklı kılan; giderek daha iyi ve güçlü hale gelmeleri. Şirketlerin de bu tarz saldırılara karşı çözümlerle hazır olması lazım. Burada bahsettiğimiz de standart bir firewall’dan çok daha fazlası. Çünkü sorunun kaynağı müşteri. Bu nedenle müşteri odaklı çözümler sunmaya odaklanmalılar. Çünkü siz kendinizi ne kadar kontrol ederseniz edin, müşteriniz bu kontrolün dışında. Otomatik olarak şirketten müşteriye gelen bir yapı ve çözümler gerek ve pazarda bu amaca uygun çözümler var.

Şirketler bu riskler karşısında neler yapmalı, nasıl bir strateji ile ilerlemeli?

Kurumun antivirüs yazılımı, gelişen tehditler karşısında kendini güncelleyebilme yeteneğine sahip olmalı. Bunu da belli periyotlarda zaten yapıyorlar. Kullanıcının verdiği onayla yeni imzalar da ekleniyor. Ama bu tam anlamıyla yeterli değil. Yani temelde bu iyi ve gerekli, ama kurumsal açıdan baktığımızda, sizin kullanıcı olarak güncellemeleri ne kadar yakından takip ettiğinizi, imzaları ne kadar sık yenilediğinizi bilemem. Bu nedenle genel olarak benim düşüncem clientless (istemcisiz) çözümler kullanmanız ve bunların kendi veri merkezinizde işlemesi. Burada sizin bir nebze kontrolünüz var. En azından kullanıcı bir uygulama ile iletişim kuruyor ve bu uygulama kuruma ait. Pazarda çözümler var ve bunlar temelde fraud saldırılarına karşı güvenlik sağlıyor, phising ve otomatik işlemlerde kullanılıyor, clientless çözümle kullanıcıyı koruyor ve bu çözümün de tüm cihazlarda çalışabilmesi gerek. Ayrıca masaüstünden mobile tüm cihazlarda da aynı performansı sergilemeli. Tüm işletim sistemlerine uygun, tamamen şeffaf, kullanıcı için kullanıcı deneyiminde bir değişiklik olmayan bu tarz yapılarla, kullanıcı kendisini koruyan bir yapının farkında bile olmaz. Gerçek zamanlı işleyen bu yapı jenerik bir yaklaşım ve şirketlerin buna ilgi göstermesi gerek. Bu tarz yapıya en büyük ilgi finans sektöründen. Çünkü eskiden haklayıcıların farklı hedefleri vardı. Ama artık siber suçun tamamının önceliği para.

Sosyal mühendislik bu risk dünyasında nasıl bir yere sahip?

Bu da bir gereklilik. Sosyal mühendislik size, her türlü teknik savunmayı ve korumayı aşmak konusunda yardım eder. Sizden ihtiyacım olan bilgileri alırsam, farklı bir yöntemle her türlü korumayı aşarım. Ama önce size ulaşabilmem, sizinle ilgili bazı temel bilgileri edinip, anlamam gerek. Gördüğümüz şey şu: Giriş yaptığınızda sizden isim, telefon numarası gibi bilgileri isterler. Size dair biraz olsun bilgim varsa, bu bir tehdit demektir. Bundan sonra, örneğin bankanın çağrı merkezinden arıyormuş gibi davranıp, sizden ekstra bilgi isteyebilirler. Bazı bankalar tek seferlik şifre üretimi için SMS kullanıyor. Ben sizin telefon numaranızı biliyorsam, SMS gönderip örneğin bir güvenlik yaması geliştirdiğim bilgisini verebilir, banka gibi görünüp bunu yüklemenizi isteyebilirim. Bazı insanlar bu SMS sonrası yamaları yükledi. Oysa bu, telefon için geliştirilen bir malware’di. Telefona gelen tek seferlik şifre ve telefondaki bilgileri aynı anda saldırgana da yönlendirdi. Bu nedenle sosyal mühendislik çok önemli. Ciddi bir tehdit olmuyor ama aslında phising için gereken tüm verileri itinayla topluyor. Bankadan aradığını söyleyen bir kişi annemi bile arasa maalesef annem de buna inanır, risk olduğunu ilk etapta aklına bile getirmez. Hem çok daha kişisel bilgi edinmek için hem de insanları sahte sayfalara yönlendirmek için bazı sosyal mühendislik platformları kullanılıyor. Mobile bir uygulama yükleyebilirsiniz. Sonuçta bazı uygulama mağazaları güvenlik adına çok yetkin, ama bazıları değil. İşte bu nedenle mobil odaklı riskler çok daha hızlı bir gelişim sergiliyor. Özellikle işletim sistemi burada belirleyici oluyor.
ETİKETLER : 1041