Microsoft’ta büyük açık: Nükleer silah kurumu da hücuma uğradı! ‘Gizli anahtar saldırganlarda, herkes tehdit altında’ | 7 SORU 7 KARŞILIK
Microsoft’un yaygın olarak kullanılan sunucu yazılımındaki kritik bir güvenlik açığı, son günlerde hükümet kurumlarını ve özel dalı amaç alan global bir siber akına taban hazırladı.
Devlet yetkilileri ve özel araştırmacılar, ‘SharePoint’ isimli doküman paylaşım platformunda tespit edilen bu açığın, ABD’deki federal ve eyalet kurumlarının yanı sıra üniversiteler, güç şirketleri ve bir Asya merkezli telekomünikasyon devini etkilediğini açıkladı.
SharePoint, Microsoft tarafından geliştirilen, kurumların doküman ve bilgi idaresi, işbirliği, içerik paylaşımı ve iç bağlantı üzere muhtaçlıklarını karşılamak üzere kullanılan web tabanlı bir platform. Kullanıcıların evrakları merkezi bir alanda depolamasına, gruplarla paylaşmasına ve süreçleri dijitalleştirmesine imkan tanıyor. Hem bulut tabanlı (SharePoint Online) hem de kurum içinde barındırılan (SharePoint Server) sürümleri bulunan SharePoint, bilhassa kurum içi iş akışlarını düzenlemek, inançlı evrak paylaşımı sağlamak ve iç portal oluşturmak emeliyle tercih ediliyor.
ON BİNLERCE SUNUCUYU TEHLİKEYE ATTI
ABD, Kanada ve Avustralya’daki yetkililer saldırıyı araştırırken, uzmanlar dünya genelinde on binlerce SharePoint sunucusunun risk altında olduğunu ve Microsoft’un şimdi tüm sürümler için bir güvenlik yaması yayınlamadığını bildirdi.
Bu durum, pek çok kuruluşun harekete geçmeye çalışmasına neden oldu. Uzmanlara nazaran, kelam konusu saldırı ‘sıfır gün’ olarak tanımlanıyor. Microsoft, geçtiğimiz yıl da ABD Ticaret Bakanı Gina Raimondo’nun e-postalarının Çin kaynaklı bir akınla ele geçirilmesine imkan tanıyan açıklar nedeniyle eleştirilmişti.
HEDEFLER ARASINDA NÜKLEER GÜVENLİK KURUMU DA VAR
Bloomberg, hücumlardan ABD Ulusal Nükleer Güvenlik İdaresi’nin (NNSA) de etkilendiğini bildirdi. Bu kurum nükleer silahların geliştirilmesi, bakımı ve güvenliğiyle ilgileniyor.
Bloomberg’e konuşan bir kaynak, kurumun, son günlerde 50’den fazla kuruluşu etkileyen sıfırıncı gün açığına yakalandığını söyledi. Bloomberg’in haberine nazaran, kurumun bulut hizmetlerini ağır biçimde kullanması sayesinde hassas ya da bâtın bilgilerin sızdırılmadığı bildirildi. Enerji Bakanlığı sözcüsü, “Çok az sayıda sistem etkilendi. Etkilenen tüm sistemler geri yükleniyor” dedi.
Ulusal Keşif Ofisi (NRO), kimliği belgisiz bilgisayar korsanlarının CIA ve başka kurumlar tarafından hassas mukaveleler için kullanılan büyük bir istihbarat web sitesini ele geçirdiğini açıkladı.
Bu atak, CIA’in yenilikçi casusluk programları için kullanılan Acquisition Research Center sitesindeki tescilli fikri mülkiyet ve ferdî bilgileri amaç aldı.
Özellikle Digital Hammer isimli istihbarat, gözetleme ve karşı istihbarat için gelişmiş teknolojiler geliştiren çok zımnî programın bilgilerinin tehlikeye atıldığı belirtiliyor. Bu program Çin’in istihbarat tehditlerine karşı tasarlanmış yenilikçi teknolojileri kapsıyor.
Microsoft ise benzeri halde Çin takviyeli bilgisayar korsanlarının, Güç Bakanlığı’na bağlı Ulusal Nükleer Güvenlik İdaresi’ni (ABD nükleer silahlarının bakım ve üretiminden sorumlu kurum) de hacklediğini duyurdu.
BULUT TABANLI SİSTEMLER ETKİLENMEDİ
Microsoft, atağın yalnızca kurum içi sunucuları etkilediğini, Microsoft 365 üzere bulut tabanlı sistemlerin etkilenmediğini belirtti. Şirket, evvel kullanıcılara SharePoint irtibatlarını kesmelerini önerdi, akabinde pazar günü yazılımın bir sürümü için yama yayımladı. Lakin başka iki sürüm hâlâ savunmasız durumda…
‘HERKES TEHDİT ALTINDA’
CrowdStrike’tan kıdemli lider yardımcısı Adam Meyers, “Barındırılan bir SharePoint sunucusuna sahip olan herkes bu güvenlik açığı nedeniyle tehdit altında” tabirlerini kullandı.
FBI ise yaptığı açıklamada, “Federal hükümet ve özel kesim ortaklarımızla yakın iş birliği içindeyiz” dedi.Siber güvenlik firması Palo Alto Networks’ten Pete Renals ise “Henüz yama yayımlanmadan dünya genelindeki binlerce SharePoint sunucusuna sızma teşebbüsleri tespit ettik. Kamu ve özel kesimde çok sayıda kuruluşun tehlikeye atıldığını gözlemledik” açıklamasında bulundu.
Peki ferdi olarak bizler nasıl bir tehdit altındayız?
Bu krizi daha yeterli anlamak adına Marmara Üniversitesi İletişim Fakültesi Görsel Bağlantı Tasarımı Anabilim Dalı Başkanı ve Bilişim Teknolojileri Uzmanı Prof. Dr. Ali Murat Kırık ile mercek altına aldık.
‘BELEDİYENİN KENDİ BİNASINDA BİR SUNUCUSU VARSA EN BÜYÜK GAYE ONLAR’
1- Bu açığın ‘sıfır gün’ olması ne manaya geliyor? Microsoft 365 neden etkilenmedi?
Prof. Dr. Ali Murat Kırık: Sıfır gün demek, bu açığın şimdi kimse tarafından bilinmediği, Microsoft’un da tahlil üretemediği bir an yakalanmış olması demek. Saldırganlar bu boşluktan faydalanıyor, zira şimdi bir güvenlik yaması yok. Microsoft 365 etkilenmemesinin nedeni ise büsbütün bulut tabanlı olması. Bulut sistemlerde Microsoft güvenlik duvarları ve güncellemeler anında devrede, fakat kendi sunucusunda SharePoint barındıran kurumlar risk altında. Mesela belediyenin kendi binasında bir SharePoint sunucusu varsa ve internete açık biçimde çalışıyorsa, en büyük amaç onlar.
‘KAPIYI KİLİTLESENİZ BİLE, ONLARIN ELİNDE BÂTIN BİR ANAHTAR OLUYOR’
2- Bu açıkla saldırganlar neler yapabiliyor?
Prof. Dr. Ali Murat Kırık: Bu açıkla saldırgan yalnızca sisteme girmekle kalmıyor, yönetici üzere davranabiliyor. Yani belediyenin SharePoint’inde tüm ihale belgelerini görebilir, güç şirketinin proje çizimlerini kopyalayabilir. Daha berbatı, kullanıcıların şifrelerini çalıp, e-posta yahut Teams üzere bağlı sistemlere de sızabilirler. Bu açık, saldırganlara yalnızca sisteme girmek değil, içeride işveren üzere davranma fırsatı veriyor.
Düşünün, bir belediyenin doküman arşivine sızdılar; ihale belgelerini, ruhsat dokümanlarını indirip kopyalayabilirler. Bir üniversitenin sistemine girdilerse, akademik evrakları yahut öğrenci bilgilerini çekebilirler. Daha da değerlisi, yönetici düzeyinde yetki elde ettiklerinde sisteme kalıcı art kapılar bırakabiliyorlar. Yani siz kapıyı kilitleseniz bile, onların elinde bâtın bir anahtar oluyor ve istedikleri vakit geri dönebiliyorlar.
‘AYNI AĞDA İMTİHAN SİSTEMLERİ VARSA, SALDIRGAN BURALARA DA ULAŞABİLİR’
3- Sunucunun internete açık olması dışında diğer kaide var mı?
Prof. Dr. Ali Murat Kırık: En temel risk, sunucunun internete açık olması… Fakat tek risk bu değil. Şayet sistemde güncelleme yapılmamışsa, yedekleme zayıfsa yahut öbür kritik uygulamalarla irtibatlıysa, risk daha da büyüyor. Mesela bir üniversitenin SharePoint’i içeride öğrenci bilgileriyle dolu ve tıpkı ağda imtihan sistemleri varsa, saldırgan buralara da ulaşabilir.
‘ELE GEÇİRİLEN BİLGİLER KARABORSADA SATILABİLİR’
4- Bu işin gerisinde devlet takviyeli hackerlar olabilir mi?
Prof. Dr. Ali Murat Kırık: Evet, olabilir. Bilhassa bu kadar geniş çaplı bir akın, genelde organize ve güçlü kümelerin işi olur. Hedef yalnızca para değil. Bazen kritik evrakları ele geçirerek ülkelerin stratejik planlarını öğrenmek, bazen de siyasi baskı için yapılır. Örneğin, daha evvel Çin takviyeli kümeler Microsoft açıklarını kullanarak, ABD’li yetkililerin e-postalarını çalmıştı. Burada da benzeri bir tablo olabilir. Fakat finansal motivasyon da var: Ele geçirilen bilgiler karaborsada satılabilir.
‘BELGELERİNİZ ÇALINIRSA, KİMLİK BİLGİLERİNİZ DOLANDIRICILIKTA KULLANILABİLİR’
5- Vatandaşlar bu akınlardan etkilenir mi?
Prof. Dr. Ali Murat Kırık: Direkt olarak hacklenen sunucuda sizin bilgileriniz yoksa anında etkilenmezsiniz. Lakin dolaylı tesirler büyük olabilir. Örneğin, e-devlet’te kullandığınız bir hizmette art planda SharePoint varsa ve akına uğrarsa, dokümanlarınıza erişemeyebilirsiniz. Üniversiteye kayıt evrakları, belediyede imar müsaadeleri, hatta sıhhat projeleri bile bu platformlarda tutulabiliyor. Berbat senaryo şu: Evraklarınız çalınırsa, kimlik bilgileriniz dolandırıcılıkta kullanılabilir.
‘EVRAKLARIN YİNE YÜKLENMESİ GÜNLER SÜREBİLİR’
6- Kamu evraklarına erişim nasıl etkilenir? Evraklar büsbütün kaybolabilir mi?
Prof. Dr. Ali Murat Kırık: Evet, etkilenebilir. Bu türlü bir taarruz olduğunda ekseriyetle birinci belirti, erişim kesintisi. Yani bir kamu portalında evrak ararken “sistem arızası” uyarısı görebilirsiniz. Kimi durumlarda dokümanlar yedeklerden geri yüklenebilir, lakin yedekleme zayıfsa işler zorlaşıyor. Hatta çok kritik bir risk var: Evraklar büsbütün kaybolabilir.
Örneğin, bir inşaat için ruhsat almışsınız; lakin belediyenin sisteminde kayıtlar akın sonrası yok olmuşsa, evrakların tekrar oluşturulması hem vakit hem de önemli maliyet demek. Bu, e-devlet’teki bir hizmetin apansız çalışmaması üzere bir durum. Yedek varsa sorun çözülür, lakin yedek yoksa evraklar kalıcı olarak kaybolabilir. Yani belediyede inşaat ruhsatı almışsınız lakin sistem hacklenmiş; evrakların tekrar yüklenmesi günler sürebilir.
BU TEDBİRLERİ KESİNLİKLE ALIN!
7- Şirketler ve bireyler ne yapmalı?
Prof. Dr. Ali Murat Kırık: Şirketler için en değerli adım, sistemlerini daima şimdiki tutmak. Güvenlik yamalarını bekletmeden yüklemek çok kritik… “Zero Trust” denilen, kimseye tam güvenmeme yaklaşımı uygulanmalı; yani her erişim isteği tekrar tekrar doğrulanmalı. Ayrıyeten iki etaplı kimlik doğrulama (örneğin şifre + telefon onayı) artık zarurî hale getirilmeli.
Bireyler için ise yapılacaklar kolay: Güçlü şifreler kullanın ve her platformda birebir şifreyi tercih etmeyin. Mümkünse siz de iki evreli doğrulamayı faal edin. Bir de çok kıymetli bir nokta: Bilgilerinizi sırf resmi sitelerde saklayın ve size gelen linklere tıklamadan evvel iki sefer düşünün. Bu saldırı, sadece devlet kurumu ve şirketlerin ilgisini çeken bir bahis değil. Hayatımızın tam ortasında…
Fotoğraflar: iStock, Alamy
