Afrika’nın yer altı zenginliklerini duyardık ancak uzmanlar bir süredir Afrika’nın botnet açısından da zengin olabileceğini belirtiyor. “Afrika’daki botnet’lerden bize ne?” demiyor ve sizin için Afrika’lı yaban botnetlerini araştırıyoruz.
Botnet nedir?
Botnet farklı hedefleri olan ama temelde kötü amaçlı yazılımlardır. DoS saldırılarından, spam göndermeye kadar geniş bir yelpazede kullanılabilen botnetlerin en belirgin özelliklerinden birisi grup halinde yönetilebilmeleridir. Kısaca tek bir makineden gelen saldırı yerine yüzlerce, belki binlerce makineden gelen saldırılarla karşı karşıya kalmak demek.
Botnet saldırıların engellenmesi bu yazının konusu olmamakla beraber bu konuda daha fazla bilgi isteyen okuyucularımız basaranalper|@|gmail|.|com adresine “Botnet saldırıları hakkında bilgi istiyorum” konulu bir mail atabilirler. Maile adınızı ve detaylı iletişim bilgilerinizi yazmayı unutmayınız.
Afrika nedir?
Çocukluğumun birkaç yılının geçtiği Dakar dışında Afrika hakkında çok bilgim yok. Oradan aklımda kalanın büyük bölümü aşağıda resmi olan Sandaga Pazar yeri ile ilgili zaten.
Sandaga Pazarı, Dakar, Senegal (Şekil 1-A. Kaynak: salysenegal.net )
Kabile savaşları, sefalet, açlık, insanlığa karşı işenen suçlar gibi genel kültür bilgisi dışında beni, ve sizi, ilgilendiren bir yanı daha var Afrika’nın. Uzmanlar Afrika’nın geleceğin en büyük botnet saldırısının çıkış yeri olabileceğini belirtiyor. Şekil 1-A’da da görüldüğü üzere yoksulluğun pençesinde kıvrılan bu ülke gelişmiş medeniyetler için gerçekten bir tehdit oluşturabilir mi?
Tehlikenin kaynağı nedir?
Tehlikeyi iki ana başlık altında ele alabiliriz; botnet kapmış makineler ve internet erişimi. Şimdiye kadar tehdidin göz ardı edilebilir olmasının nedenlerinden birisi Afrika kıtasının dünyaya çıkış için sınırlı bir bant genişliğine sahip olmasıydı. Sonuçta bütün kıta orta ölçekli bir Avrupa kentinin internet bağlantısına sahipken kimse yıkıcı bir botnet saldırısını aklına getirmiyordu. Ancak son yıllarda SEACOM, TEAMS (The East African Marine System) kablosu, EASSy kablosu gibi yatırımlarla kıtanın internet çıkışı önemli rakamlara ulaşmıştır.
EASSy sistemi (Şekil 2-A. kaynak: Wikipedia)
Bu gelişmelere paralel olarak kıta genelinde artan bilgisayar kullanımı da olası botnet makine sayısının artmasına neden olmaktadır. Makinelerin önemli bir kısmının korsan Windows sürümleri kullandığı, dolayısıyla güvenlik yamalarının olmadığı söyleniyor.
Bu durumda ne olur?
Genel paranoya haline kapılıp Afrika’da bulunan 10 milyon botnet’in ülkemize saldıracağını ve bunun internet altyapımızı çalışamayacak hale getirebileceğini düşünebiliriz. Benzer şekilde 21. Yüzyılın en büyük hacker’larının Afrika’dan çıkabileceğini de hayal edebiliriz. Mauritus kaynaklı bir botmaster’ın Londra Canary Wharf’ta bulunan banka genel merkezlerini bitirdiği bir film bile çekilebilir önümüzdeki günlerde.
Canary Wharf’ta sabah (Şekil 3-A. Kaynak: Alper Başaran)
Her ne olursa olsun, şu anda tehdidin gerçekleşme ihtimali düşük gözüküyor. Ama bu ölçekte profesyonel saldırıların hedefinde kalabileceğimizi unutmamak adına güzel bir felaket senaryosu oluşturuyor.
Biz ne yapalım?
Paniğe kapılmadan kendi sistemimizin güvenliğini sağlayalım. Bunun için sistemin ve kullanıcıların hangi bilinç seviyesinde olduğunu tespit etmek önemlidir. Böylece eğitimlere ve yatırımlara nereden başlayacağımıza karar verebiliriz.
Bilinç seviyelerini kabaca 4 döneme ayırabiliriz, aşağıdaki grafikte görüldüğü gibi zamanla, daha doğrusu güvenlikle ilgili çalışmalar yürütüldükçe sistem içerisindeki bilinç seviyesi artıyor.
Güvenlik bilinci seviyesi (Şeki 4-A. Kaynak: Byrnes & Scholtz, 2005)
Güvenlik bilinci seviyelerinin temel özelliklerini anlamak bulunduğunuz sistemin hangi seviyede olduğunu ve sonraki seviyeye geçmek için yapmanız gerekenleri ortaya koyacaktır.
“Cehalet” dönemi: Bu dönemin özelliği güvenlik konusunda herhangi bir prosedür, süreç, işlem yoktur. Firewall olması iyiye işaret olabilir ama firewall’ın fabrika hala fabrika ayarlarında olması sizi şaşırtmamalı.
“Bilinçlenme” dönemi: Güvenlikle ilgili kıpırdanmaların olduğu dönemdir. Çalıştığınız yerde bu konuda çalışmalar yeni başladıysa büyük ihtimalle bu dönemdesiniz. Bilinçlenme dönemine geçmek için öncellikle mevcut durumun gözden geçirilmesi gerekmektedir. Sonrasında güvenlik konularıyla ilgilenecek bir ekibin kurulması veya bu ekibin kâğıt üzerinde mevcut olduğu durumlarda yeniden düzenlenmesi ve çalışır hale getirilmesi gerekmektedir. Bu ekipler ISO çalışmasının mirası olarak karşımıza çıkabilirler. Son adımda ise bir dizi yeni güvenlik kuralı geliştirilir.
“Düzeltme” dönemi: Bu dönemde yeni strateji şekillenmiş olur. Güvenlik odaklı mimari gözden geçirilir ve oturtulur. Bu dönem ilerlemeye odaklandığı için ve belli bir altyapının oluşmaya başlamış olmasından dolayı en hızlı ilerlemenin görüldüğü dönem olacaktır.
“Mükemmeliyet” dönemi: Çalışmaların tam anlamıyla meyvelerini verdiği dönem. Sürekli iyileştirme hedefiyle yapılacak işlerin olduğu ancak güvenlik bilincinin büyük ölçüde oturduğu bir dönem.
Görüldüğü gibi güvenlik bilincinin oluşturulması, güvenlikle ilgili her konuda olduğu gibi bir süreçtir.
SANS 27000 Uygulama ve Yönetim kursu buna benzer bir örneği log kayıtlarıyla ilgili vermektedir. Logların 3 aşamalı bir model ile hiç izlenmedikleri bir durumdan saatlik izlendikleri bir duruma geçiş gösterilmiştir. İlk aşamada belirli aralıklarla incelenen sunucu ve daha da seyrek olarak incelenmektedir. Üçüncü aşamada ise gerekli yazılım ve donanım yatırımları yapılmış ve loglar anlık olarak incelenip yorumlanmaya başlamıştır.
Afrika’ya dönersek
Şirket firewall’unuzun Kara Kıta kaynaklı milyonlarca botnet’in katıldığı bir siber savaş cephesi haline gelmesi zor. Ancak mevcut yapınızın sizi çok daha basit saldırılara karşı savunmasız bıraktığını hatırlamak için bu tür korku senaryolarını arada hatırlamakta fayda var.
