Bu konu teknopolitik açıdan sadece bir günde alınmış bir karar olmadığına dair bilgi derlemeleridir.
12 Mayıs 2017 İstanbul saatiyle 10:30 - wana Decrypt0r - WannaCry saldırısı otomatik olarak kendini ağdaki diğer sistemlere yaydı. Bir günde 150 farklı ülkede 230.000 sistem etkilendi, bunlar içinde sağlık sistemleri de (MRI makinelerinin sistemleri v.b) mevcuttu - milyar dolarlık zarar olduğu düşünülmektedir. İngiltere'de WannaCry ile ilgili bir "kill switch" keşfedildiyse de saldırı başarılı olmuştu. ABD NSA, Kuzey Koreli 3 hackerı sorumlu tuttu.
NotPetya saldırısı, WannaCry'ın akabinde ortalık karışıkken, 27-28 Haziranda gerçekleşti, 10 milyar dolarlık zarar olduğu düşünülmektedir. ABD NSA, bu sefer 6 Rus hacker'ı ve dolayısıyla Rusyayı sorumlu tuttu.
İlginç olan ise bu iki saldırının ve devamında gelişen tüm saldırıların birbirlerine çok yakın tarihlerde ve büyük çaplı ancak özelleşmemiş saldırılar olmasıydı - saldırı herhangi bir ağda herhangi bir sistemden yayılıyordu, hedef belirsizdi. WannaCry, NotPetya, Retefe, WannaMine, Trickbot...
Ancak ilk başta, sağduyulu olmayan herhangi birisinin gözden kaçırabileceği çok basit bir nokta vardı, tüm saldırılar aynı exploit'ten yararlanmıştı: EternalBlue.
EternalBlue, ABD'nin Ulusal Güvenlik Ajansı NSA'in içindeki "The Equation Group" tarafından yazıldı.
Kaspersky'nin "Lab's Global Research and Analysis Team" (GReAT) ekibi, yıllar içinde inceledikleri (60+ ekip ve bireysel) saldırılar sonucunda bunu yaratan tehlike faktörünü yani The Equation Group'u "bildiğimiz en karmaşık ve sofistike tekniklerin ötesinde, geriye dönük olarak neredeyse 20 yıldır aktifler" diye nitelendirmişti.
EternalBlue, EternalChampion, EternalRomance ve EternalSynergy: kısaca "Eternal Exploits" Microsoft SMB (port 445) protokollerini hedef almaktaydı. Bilgisayarlar, sunucular, yazıcılar, NAS'lar, Tv'ler, gömülü sistemler... hepsi bu dosya ve bilgi paylaşım protokolünü kullanmaktaydı.
EternalBlue, hiçbir kullanıcı müdahelesine gerek duymadan, üç farklı bug'un beraber işlemesiyle çalışıyordu, ilk ikisi Buffer Overflow üçüncüsü ise hafıza düzenlemesi (memory allocation) kısmında değişiklik yapıyordu. Tek başlarına basit sistem hataları olan bu set, beraber çalıştığında "heap grooming / heap feng shui" denilen bir tekniğe izin vermektedir. Kendini sistem hafızasına doğrudan ekleyip ve varolan bir işlem/process içinde döngüyü bozmadan çalışabilir - ki bu yakalanmasını çok zorlaştırmaktadır. Çok basit bir şekilde düşünürsek; sistemde kodların filtrelenmeden doğrudan işleme alınmasını sağlamaktadır.
Daha fazla teknik açıklama yapmayacağım, konuyla ilgilenen arkadaşlar kendileri araştırabilir (Defcon 2018 - zerosum0x0 videosu) veya zaten biliyorlarsa şu an gülümsüyorlardır, sinirden.
Farklı işletim sistemleri arası geçiş sağlayan SMB bilgileri yüzünden ve sayesinde, bu açık, sistemler arası değişikliğe çok takılmadan bu kadar hızlı ve tehlikeli şekilde yayıldı. Bu NSA'in 2015-16 yılına kadar küresel çapta topladığı pek çok aygıt ve çipe ait açıkların kendi söküklerini dikemedikleri için ortaya çıkması, bunu Kaspersky'nin yapması ve Kaspersky'nin ABD menşei olmadığı için susturulamaması sonrası bir "ağzına biber sürerim" olarak ele alabiliriz.
Tabi bu dijital dünyanın sürekli telefonda kaydırılan ekranlar sayesinde pek ilgilenilmeyen, bilinmeyen ve algoritmaların çok da insanlara satmak istemediği kısımlardan bir durum özeti. Bu dünyada StuxNET ve McAfee'nin başından geçen (kurşun geçmediğine dair şahitler olduğundan bahsediliyor) yanları mevcut, belki bir ara derlerim, kimbilir.
12 Mayıs 2017 İstanbul saatiyle 10:30 - wana Decrypt0r - WannaCry saldırısı otomatik olarak kendini ağdaki diğer sistemlere yaydı. Bir günde 150 farklı ülkede 230.000 sistem etkilendi, bunlar içinde sağlık sistemleri de (MRI makinelerinin sistemleri v.b) mevcuttu - milyar dolarlık zarar olduğu düşünülmektedir. İngiltere'de WannaCry ile ilgili bir "kill switch" keşfedildiyse de saldırı başarılı olmuştu. ABD NSA, Kuzey Koreli 3 hackerı sorumlu tuttu.
NotPetya saldırısı, WannaCry'ın akabinde ortalık karışıkken, 27-28 Haziranda gerçekleşti, 10 milyar dolarlık zarar olduğu düşünülmektedir. ABD NSA, bu sefer 6 Rus hacker'ı ve dolayısıyla Rusyayı sorumlu tuttu.
İlginç olan ise bu iki saldırının ve devamında gelişen tüm saldırıların birbirlerine çok yakın tarihlerde ve büyük çaplı ancak özelleşmemiş saldırılar olmasıydı - saldırı herhangi bir ağda herhangi bir sistemden yayılıyordu, hedef belirsizdi. WannaCry, NotPetya, Retefe, WannaMine, Trickbot...
Ancak ilk başta, sağduyulu olmayan herhangi birisinin gözden kaçırabileceği çok basit bir nokta vardı, tüm saldırılar aynı exploit'ten yararlanmıştı: EternalBlue.
EternalBlue, ABD'nin Ulusal Güvenlik Ajansı NSA'in içindeki "The Equation Group" tarafından yazıldı.
Kaspersky'nin "Lab's Global Research and Analysis Team" (GReAT) ekibi, yıllar içinde inceledikleri (60+ ekip ve bireysel) saldırılar sonucunda bunu yaratan tehlike faktörünü yani The Equation Group'u "bildiğimiz en karmaşık ve sofistike tekniklerin ötesinde, geriye dönük olarak neredeyse 20 yıldır aktifler" diye nitelendirmişti.
EternalBlue, EternalChampion, EternalRomance ve EternalSynergy: kısaca "Eternal Exploits" Microsoft SMB (port 445) protokollerini hedef almaktaydı. Bilgisayarlar, sunucular, yazıcılar, NAS'lar, Tv'ler, gömülü sistemler... hepsi bu dosya ve bilgi paylaşım protokolünü kullanmaktaydı.
- 2015-2016 civarı: NSA, 2016 öncesi açıkları bulmuştu ama beklemedikleri bir şekilde 2016'da "The Shadow Brokers" ekibi NSA'yi ruhları bile duymadan hackledikten sonra tüm bu bilgileri aldı ve açık arttırma ile DarkWeb'de satışa koydu, ancak alıcı çıkmadı. (Buraya üzgün surat gelecek.)
- Mart 2017: NSA durumun farkında vardığında Microsoft'a haber verdi ve MS17-010 güncellemesi acil olarak yayınlandı.
- Nisan 2017: The Shadow Brokers bilgiler satılamadığı için verilebilecek en büyük zararı vermeye karar verdiler, çaldıkları tüm NSA bilgilerini yayınlamak, böylece Eternal Exploits yanına Fuzzbunch (sistem kontrolü/frame work), DanderSprintz (yönetim sistemi/control solution), DoublePulsar (Arka kapı uygulaması/Backdoor implant) setlerini de açık şekilde yayınladılar. (Burada gigachad var diye hayal edin.)
EternalBlue, hiçbir kullanıcı müdahelesine gerek duymadan, üç farklı bug'un beraber işlemesiyle çalışıyordu, ilk ikisi Buffer Overflow üçüncüsü ise hafıza düzenlemesi (memory allocation) kısmında değişiklik yapıyordu. Tek başlarına basit sistem hataları olan bu set, beraber çalıştığında "heap grooming / heap feng shui" denilen bir tekniğe izin vermektedir. Kendini sistem hafızasına doğrudan ekleyip ve varolan bir işlem/process içinde döngüyü bozmadan çalışabilir - ki bu yakalanmasını çok zorlaştırmaktadır. Çok basit bir şekilde düşünürsek; sistemde kodların filtrelenmeden doğrudan işleme alınmasını sağlamaktadır.
Daha fazla teknik açıklama yapmayacağım, konuyla ilgilenen arkadaşlar kendileri araştırabilir (Defcon 2018 - zerosum0x0 videosu) veya zaten biliyorlarsa şu an gülümsüyorlardır, sinirden.
Farklı işletim sistemleri arası geçiş sağlayan SMB bilgileri yüzünden ve sayesinde, bu açık, sistemler arası değişikliğe çok takılmadan bu kadar hızlı ve tehlikeli şekilde yayıldı. Bu NSA'in 2015-16 yılına kadar küresel çapta topladığı pek çok aygıt ve çipe ait açıkların kendi söküklerini dikemedikleri için ortaya çıkması, bunu Kaspersky'nin yapması ve Kaspersky'nin ABD menşei olmadığı için susturulamaması sonrası bir "ağzına biber sürerim" olarak ele alabiliriz.
Tabi bu dijital dünyanın sürekli telefonda kaydırılan ekranlar sayesinde pek ilgilenilmeyen, bilinmeyen ve algoritmaların çok da insanlara satmak istemediği kısımlardan bir durum özeti. Bu dünyada StuxNET ve McAfee'nin başından geçen (kurşun geçmediğine dair şahitler olduğundan bahsediliyor) yanları mevcut, belki bir ara derlerim, kimbilir.