Bu Help Net Security röportajında The Shadowserver Foundation’ın CEO’su Piotr Kijewski, kuruluşun güvenlik açıklarını, kötü amaçlı etkinlikleri ve ortaya çıkan tehditleri açığa çıkararak internet güvenliğini artırma misyonunu tartışıyor.
Kijewski, vakfın siber suçları takip etme ve engellemeye yönelik otomatik çabalarını, aynı zamanda kolluk kuvvetlerine destek sağladığını ve dünya çapında kapasite geliştirme hizmetleri sunduğunu açıklıyor.
Shadowserver Vakfı’nın internetin güvenliğine yönelik misyonu ve yaklaşımı hakkında genel bir bakış sunabilir misiniz?
Shadowserver Vakfı’nın misyonu, güvenlik açıklarını, kötü amaçlı etkinlikleri ve ortaya çıkan tehditleri gün ışığına çıkararak interneti daha güvenli hale getirmektir. Bunu, dünya çapındaki CSIRT’lere ve ağ savunucularına ücretsiz erken uyarı, tehdit/zafiyet istihbaratı beslemeleri ve mağdur bildirim hizmetleri sağlayarak yapıyoruz.
Eyleme geçirilebilir istihbarat sağlayarak, dünya çapındaki CSIRT’lerin ve ağ savunucularının, ağlarını ve/veya seçmenlerini güvence altına almak için gereken bilgilerle donatılmasına yardımcı oluyoruz. 175 ülke ve bölgeyi kapsayan 201 Ulusal CSIRT’ye ve çok çeşitli sektörlerde 8000’den fazla kuruluşa hizmet veriyoruz. İnternet varlığı olan her kuruluş, ücretsiz günlük bildirim hizmetlerimize abone olabilir.
Küçük bir kuruluş olarak (30 kişi), yukarıda belirtilen küresel etkiyi yalnızca büyük ölçekli otomasyon yoluyla elde edebiliriz. Kötü amaçlı yazılımların/botnet’lerin yok edilmesi, açıkta kalan/güvenlik açığı bulunan/tehlike altındaki varlıkları tarayarak, açığa çıkan varlıklara yönelik en son saldırıları gözlemleyen bal küpü sensörleri yoluyla ve en yeni kötü amaçlı yazılımları sanal alanlarda geniş ölçekte analiz ederek güvenlikle ilgili olayları geniş ölçekte topluyoruz. Her gün yaklaşık 1.000.000.000 siber olayı toplulukla sorumlu bir şekilde ve hiçbir ücret ödemeden paylaşıyoruz.
Ayrıca kolluk kuvvetlerinin siber suçları engelleme operasyonlarına ücretsiz teknik destek sağlıyoruz. Siber suçlara karşı birçok önemli eylemde perde arkasında kritik bir rol oynadık; Emniyet Güçlerimizi ve sektör ortaklarımızı teknik yetenekler, soruşturma yardımı ve mağdur bildirim kanallarıyla destekledik.
Tehdit tespiti, siber tehdit istihbaratı ve olaylara müdahale alanlarında dünya çapında siber güvenlik kapasitesi geliştirme hizmetleri sağlıyoruz (genellikle Birleşik Krallık Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi – FCDO gibi çeşitli hibelerle finanse edilmektedir). Bu, ağların küresel olarak güvenliğinin sağlanmasına yardımcı olur; bu, bu ağların başkalarına yönelik saldırılarda proxy olarak kullanılamayacağı anlamına gelir.
Shadowserver’ın son yıllarda izlediği kötü amaçlı yazılım ve botnet etkinliklerindeki en önemli değişikliklerden bazıları nelerdir?
Tehdit aktörleri, virüs bulaşmış Windows bilgisayarlardan oluşan devasa botnet’ler oluşturmaktan ve para kuryelerine banka havalesi yoluyla para çalmak için bankacılık truva atlarını kullanmaktan uzaklaştı. Bot ağları artık daha küçük olma eğiliminde ve yüksek değerli hedeflere erişim sağlamaya daha fazla odaklanıyor.
Bugün, ilk erişim aracıları, halka açık hizmetlere yönelik açıklardan yararlanıyor ve kurumsal ağlara erişim sağlıyor. Hizmet olarak fidye yazılımı bağlı kuruluşları daha sonra kurban verilerini şifrelemek ve kurban verilerini kamuya açık veri sızıntısı sitelerinde kripto para birimleri aracılığıyla ödeme yapma tehdidi yoluyla zorla ödeme almak için bir dizi fidye yazılımı ailesi dağıtır. Fidyeyi ödeyen kurbanlar bu veri sızıntısı sitelerinde görünmüyor, bu da sorunun gerçek boyutunu ölçmenin zor olduğu anlamına geliyor. Popüler satıcıların VPN uç noktaları gibi uç cihazlar, en çok hedeflenen cihazlardan biri haline geldi.
İster bir saldırganın gerçek konumunu gizlemek için proxy ağları olarak (Mayıs ayında FBI/DoJ ile birlikte açığa çıkardığımız devasa 911 konut proxy botnet’i gibi), ister Operasyonel Aktarma Kutuları (ORB’ler) olarak IoT cihazlarından oluşan botnet’ler yaygınlaştı. casusluk veya ulus devlet faaliyetlerinin kökenini maskelemek (Ocak ayında FBI/DoJ ile birlikte çökerttiğimiz Ubiquity yönlendiricilerinin Moobot botnet’i gibi).
Kripto madencileri, en son açıklanan güvenlik açıklarının çoğundan yararlanma konusunda ön sıralarda yer alıyor; Bitcoin ve diğer kripto para birimlerinin fiyatlarındaki son artış göz önüne alındığında bu durumun değişmesi pek olası değil. Arka kapılı uygulamalar veya Adload (Shadowserver’ın çökerttiği) gibi yandan yükleme yoluyla iletilen Potansiyel Olarak İstenmeyen Programlar (PUP’lar), Apple ve Android gibi platformlar da dahil olmak üzere sorun olmaya devam ediyor.
Shadowserver’ın da dahil olduğu Europol’ün Mayıs ayındaki Operasyon Sonu, IcedID, SystemBC, Pikabot, Smokeloader ve Bumblebee dahil olmak üzere büyük kötü amaçlı yazılım yükleyici ailelerinin çoğunu sekteye uğrattı. Bu yükleyicilerden bazıları geri döndü, bazıları ise (henüz) geri dönmedi. Kötü amaçlı yazılım bulaşmış kurbanların kimlik bilgilerini toplayan bilgi çalan kötü amaçlı yazılımlar, siber suç ekosisteminin ana etkenlerinden biri olmaya devam ediyor.
Sektörün yapay zeka konusundaki çılgınlığına rağmen, kötü amaçlı yazılımlar ve botnet’lerde henüz günlük hayatta pek fazla pratik etki göremedik.
Vakıf, özellikle büyük ölçekli botnet enfeksiyonlarıyla uğraşırken, raporlamasının doğruluğunu ve güncelliğini nasıl sağlıyor?
Faaliyetlerimizin çoğu son derece otomatiktir. Buna bildirim süreçlerimiz de dahildir. Bu, veri setlerimizdeki yanlış pozitifleri her zaman en aza indirmeye çalışmamız gerektiği anlamına gelir, aksi takdirde bilgilerimizi her gün alan binlerce kuruluş gereksiz uyarılarla dolup taşacaktır. Aynı zamanda bunu zamanındalıkla dengelememiz gerekiyor. İlgili bilgileri internet savunucularının eline mümkün olan en kısa sürede ulaştırabilmemizi sağlamak. Yeni bir veri paylaşım etkinliğini etkinleştirirken bu iki hususu dikkate almamız gerekir.
Topladığımız veri türüne bağlı olarak farklı yaklaşımlar kullanırız. Yukarıdaki yanlış olumlu endişeler nedeniyle yaklaşımımızda genellikle muhafazakarız. İnternet çapında yeni taramaların geliştirilmesi için, üretime geçmeden önce doğruluğundan emin olmak amacıyla genellikle tarama metodolojimizi kapsamlı bir şekilde test ederiz. Teknik faaliyetlerimizin en aza indirilmesine ve saldırgan yasal sınırları aşmamasına dikkat ediyoruz.
Kötü amaçlı yazılım bulaşmaları ve çöküntü nedeniyle kesintiye uğrayan botnet’ler için, tehdit aktörünün teknik altyapısının ve botnet’in komuta ve kontrol (C2) iletişimlerinin kapsamlı bir şekilde anlaşılmasını sağlamak için genellikle daha uzun bir süre çalışırız. Bu, doğru C2 protokollerini “konuşan” çukurlar oluşturmak ve böylece diğer gürültülerin filtrelenmesine yardımcı olmak için gereklidir.
Vakfın bilgi paylaşımı yaklaşımı tehdit ortamına ayak uyduracak şekilde nasıl gelişti?
Saldırılarda kullanılan teknik yöntemlerdeki değişikliklerin yanı sıra, saldırıların ulaştırılmasında da büyük bir hızlanma görüyoruz. Her şey eskisinden çok daha hızlı gerçekleşiyor. Saldırganların geniş çapta benimsendiğini görmeden önce, artık genellikle bir üründeki bir güvenlik açığının açığa çıkmasından veya yararlanma kodunun yayınlanmasından sadece birkaç saat sonra geçiyor. Erken uyarı duyurularımızda eskisinden daha aktif olarak uyum sağlıyoruz. Verilerimizin, internet savunucularının tehdit istihbaratını almak için kullandıkları sistemlerle otomatik bir şekilde entegre edilmesini kolaylaştırıyoruz.
Tehditlere yanıt vermek ve ek istihbaratı paylaşmak için birlikte daha yakın çalışmaya ve gerçek zamanlı iletişim kurmaya başlamak amacıyla, benzer düşüncelere sahip kuruluşlardan oluşan bir topluluk (Gölge Sunucusu İttifakı) oluşturmaya da başladık. Ayrıca, MISP-LEA (MISP’yi geliştiren Lüksemburg Ulusal CSIRT CIRCL ile ortaklaşa yürütülen, AB tarafından finanse edilen bir proje) adı verilen ve Emniyet Teşkilatına özel bir Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu (MISP) oluşturmaya da başladık. bu topluluğa özellikle yararlı olduğuna inanıyorum.
Siber güvenlik topluluğunun farkındalığı veya müdahale çabalarını iyileştirmesi gerektiğini düşündüğünüz belirli alanlar var mı?
Topluluk olarak eyleme dönüştürülebilir bilgileri paylaşma konusunda genel olarak daha iyi olmamıza rağmen hâlâ saldırganların gerisindeyiz ve yeterince hızlı yanıt veremiyoruz. Saldırılar her zamankinden daha hızlı gerçekleştiriliyor. Sık sık paylaşımdan bahseden ancak pratikte bazen engeller koyarak olaylara müdahaleyi daha az etkili hale getiren ve gecikmelere neden olan hükümetler, özel sektör, satıcılar ve mağdurlar arasında hâlâ yeterli işbirliği yok. Farklı endüstri türleri hala ayrı tutuluyor. Kendini adamış, motive olmuş, yetenekli, çevik ve sınırlardan, fon kısıtlamaları kanunundan bağımsız tehdit aktörlerinin bu sorunu yok!
Siber saldırılar/suçlar rapor edildiğinde genellikle bir algılama sorunu yaşanıyor ve çoğu saldırı “gelişmiş” veya “teknik açıdan karmaşık” olarak tanımlanıyor. Mağdurlar genellikle saldırganlar tarafından kasıtlı olarak hedef alındıklarına inanıyor; çoğu durumda internet çapında yapılan bir taramada tespit ediliyorlar, savunmasız oldukları ve ele geçirildiği ortaya çıkıyor. Pek çok olay, her kuruluşun hangi cihazları internete sunduğunun anlaşılması ve hızlı ve etkili yazılım düzeltme eklerinin uygulanmasıyla önlenebilir.
Aynı zamanda uzun bir iyileştirme kuyruğu görmeye devam ediyoruz; birçok kuruluş (en büyük %1’in dışında) hâlâ kaynaklara (finansal dahil) sahip değil gibi görünüyor veya izinsiz girişlere yeterli şekilde nasıl yanıt vereceğini veya savunmasız hizmetlerine nasıl yama yapılacağını bilmiyor. Bu sorunu çözene kadar saldırganlar avantajlı olmaya devam edecek. Shadowserver’ın ücretsiz günlük ağ raporları, büyük bütçeleri olmayan kuruluşlar için bile, kuruluşlara zamanında, eyleme geçirilebilir ve çoğunlukla benzersiz siber tehdit istihbaratı temel çizgisi sağlamaya yardımcı olur.