İçindekiler

  • Özet
  • Giriş
  • Siber Saldırı nedir
  • Sıfır Gün Saldırısı Nedir
  • Sıfır Gün Saldırısı Neden Tehlikelidir
  • Sıfır Gün Saldırısı Nasıl Gerçekleşir
  • Sıfır Gün Saldırıları Nasıl Tespit Edilir
  • Sıfır Gün Saldırılarından Nasıl Korunabiliriz
  • Sıfır Gün Açıklıklarını Saptamak için Çözüm
  • Sonuç
  • Kaynakça

Özet

Gelişen teknoloji ile artan internet ve bilgisayar kullanımı hayatın vazgeçilmez bir parçası haline gelmiştir. İnternetin yaygınlaşması bir yandan kolaylık sağlarken bir yandan da oluşan güvenlik açıkları ile sistemlerin kötüye kullanılmasına neden olmaktadır.

Bu yazıda siber saldırılardan birisi olan sıfır gün saldırısından (zero-day attack) bahsedilmiştir.

Anahtar Kelimeler: Siber saldırı, Sıfır gün saldırısı, Bilgisayar

 

Giriş

Günümüzde hızla gelişen teknoloji ile güvenlik sorunları da ortaya çıkmaktadır. Hacker adı verilen zararlı kullanıcılar ya da kullanıcı grupları internet sitelerine, bilgisayarlara, devlet kurumlarına veya kişilere gerçekleştirdikleri saldırılar ile bu alandaki bilgilere ulaşmayı veya bilgileri kullanılamaz hale getirmelerine siber saldırı adı verilmektedir. Pek çok siber saldırı yöntemi bulunmaktadır.

Siber Saldırı Nedir

“Siber Saldırı, hedef seçilen şahıs, şirket, kurum, örgüt ve devlet gibi yapıların bilgi ve iletim sistemlerine ve kritik altyapılarına yapılan planlı ve koordineli saldırılar şeklinde tanımlanmıştır (Alkan, 2012).”

Siber tehditlerin ortaya çıkmasını üç durumda ele almaktayız:

  • İnternet tasarımındaki zafiyetler (adresleme sistemi, yönetim eksikliği, internetin çalışmasını sağlayan sistemlerin çoğunun açık ve şifresiz olması, zararlı yazılımları dağıtma kabiliyeti ve internetin merkezî olmayan büyük bir ağ olması)
  • Donanım ile yazılımlardaki hatalar
  • Kritik sistemlere çevrim içi erişim imkânı (R. A. Clarke, R.K. Knake,74-85,2010)

 

Sıfır Gün Saldırısı (Zero-Day Attack) Nedir

Zero-day veya sıfırıncı gün olarak da bilinen sıfır gün saldırıları, genellikle bir yazılımdaki, ağdaki veya donanımdaki güvenlik açığını sistem yöneticisinden veya geliştiricisinden önce hackerların bu açığı tespit etmesiyle gerçekleştirilen saldırılardır.

Sıfır gün denmesinin sebebi ise, saldırının gerçekleşmesi açığın bulunduğu gün yani üzerinden sıfır gün geçince yapılmasından dolayı denmektedir.

Yazılım geliştiricileri ya da donanım sahibi olan kuruluşlar güvenlik açıklarını fark ettikleri anda açıkları kapatmak için çalışırlar. Ancak bu şekilde bir sorunu giderecek yamaların hazırlanması ve yayınlanması belirli bir vakit alır. Hackerlar da açık kapanmadan bu zamnada kötü amaçlı saldırılarını gerçekleştirirler.

Güvenlik açığı, exploit(yararlanma) ve saldırı kelimeleri genellikle sıfır gün ile birlikte kullanılmaktadır ve aralarındaki farklara bakıldığında:

  • Sıfır gün güvenlik açığı, bir güvenlik açığının tedarikçiden önce saldırganların fark ettiği güvenlik açığıdır. Güvenlik açığı fak edilmediği için yama henüz yoktur ve saldırının başarılı olması yüksektir.
  • Sıfır gün exploit’i, korsanların önceden bilinmeyen bir güvenlik açığına sahip sistemlere saldırı yapmak için kullandıkları yöntemlerdir.
  • Sıfır gün saldırısı, korsanların fark ettiği güvenlik açığını sıfır gün saldırısını kullanarak gerçekleştirmesi.

 

Sıfır Gün Saldırısı Neden Tehlikelidir

Bu saldırıların tehlikeli olmasının nedeni, sistemdeki açığa karşı güvenlik yamasının yapılamaması ve yapılıncaya kadar geçen zamanda önemli bir güvenlik açığının oluşmasıdır. Dolayısıyla hackerlar tarafından yapılan siber saldırıların başarılı olma ihtimali yüksektir. Bu sebeple, hedef alınan şirket veya kişiler bu saldırılardan zarar görmektedir.

Yazılım ve donanım şirketi için, güvenlik açığının bulunması ve o açığın kapatılması için geçen süre çok önemlidir. Bu nedenle yazılım şirketleri genellikle güvenlikten sorumlu geliştiriciler veya siber güvenlik şirketiyle çalışmaktadırlar. Bu şekilde, başkaları tarafından fark edilmeden önce sorunu gidermek için güvenlik açıkları taranmış olur.

Durumun bir diğer boyutu da yazılım ve donanımdaki açıklar gerekli yamalar ve güncellemeler ile açık kapatılır. Ancak sorunun çözülmesi için kullanıcının bu güncellemeyi yüklemesi gerekmektedir. Güncelleme de zaman alan bir süreç olmasının yanında, düzenli olarak güncelleme yapmayan kullanıcıların dolayı riskler oluşabilmektedir. Hackerlar bu kişilere karşı saldırıda bulunabiliyorlar.

 

Sıfır Gün Saldırıları Nasıl Gerçekleşir

Siber korsanların sıfır gün saldırısı için yaygın olarak başvurdukları yöntemler:

Hedefli kimlik avı: Korsanlar, belirli bir kullanıcıyı hedef alır ve kötü niyetli bir e-posta ile etkileşime geçmesi için onu kandırmaya çalışır. Korsanlar, hedef alınan kişi hakkında bilgi toplayabilir ve bu bilgiler ile sosyal mühendislik taktikleri kullanabilir.

Kimlik avı: Korsanlar, kuruluştaki birçok kişiye zararlı içerikler taşıyan e-postalar göndererek, bazılarını e-postaya gömülü kötü amaçlı bağlantıya tıklamaları için kandırmaya çalışabilir.

Güvenliği ihlal edilmiş web sitelerindeki istismar kitleri: Siber korsanlar, kötü niyetli bir kodu veya ziyaretçiyi istismar kiti bulunan sunucuya yeniden yönlendiren bir reklamı yerleştirmek için bir web sitesini devralabilir.

Kaba kuvvet (Brute force): Korsanlar, bir sunucuyu, sistemi veya ağı tehlikeye atmak için kaba kuvvete başvurur ve bu istismarı varlıklarınıza sızmak için kullanır. Kaba kuvvet saldırısı, korsanların zayıf şifreleri tahmin edebilmelerine dayanır.

 

Sıfır Gün Saldırıları Nasıl Tespit Edilir

Sıfır gün saldırılarını tespit etmede kullanılan yöntemler kusursuz değildir, çok kapsamlı da söylenemez bundan dolayı genelde birlikte kullanılmaktadır. Sıfır gün tespiti için stratejiler şu şekildedir:

İstatistik tabanlı algılama: Makine öğrenimi ile, önceden bilinen açıklardan önceki veriler toplanır ve sıfır gün tehditlerini gerçek zamanlı olarak tespit etmek amacı ile güvenli davranış için standart bir seviye ayarlanır.

İmza tabanlı algılama: “İmza tabanlı IDS, saldırıları bayt sayısı veya 1 sayısı veya ağ trafiğindeki 0 sayısı gibi belirli kalıplar temelinde algılar. Ayrıca, kötü amaçlı yazılım tarafından kullanılan zaten bilinen kötü amaçlı talimatlar dizisini temel alarak algılar. IDS’de algılanan kalıplar imza olarak bilinir. İmza tabanlı IDS, düzeni (imzası) sistemde bulunan saldırıları kolayca algılayabilir, ancak kalıpları (imzası) bilinmediği için yeni kötü amaçlı yazılım saldırılarını tespit etmek oldukça zordur (Yıldız E. Ç., 2020).”

Davranışa dayalı algılama: kullanıcının mevcut yazılım ile olan etkileşimleri analiz edilir. Gelecekteki hareketlerini öğrenmek için yola çıkar ve beklenmeyen bir hareketi engellemeye çalışır.

 

Sıfır Gün Saldırılarından Nasıl Korunabiliriz

Varlığından bile haberimiz olmayan sıfır gün saldırılarından kesin korunmak mümkün değildir. Ancak riski azaltmak için bazı önlemler alabiliriz:

Kapsamlı bir güvenlik yazılımı kullanın

Sıfır gün gibi siber saldırılara karşı hazır olabilmek için önemli adımlardan birisi de kapsamlı bir güvenlik yazılımı kullanmaktır. Bu yazılımlar düzenli olarak tarama yaparak şüpheli hareketleri ve zararlı yazılımları arar ve sistemi koruma altına almaya yardımcı olur.

Uygulamalarınızı, işletim sisteminizi ve tarayıcılarınızı güncel tutun

Her çeşit güvenlik açığına karşı son yayınlanan güncellemeleri yükleme yaparak sistemlerinizin güncel olması önemli. Yazılım ve donanımların yanında uygulamaları, işletim sistemini ve internet tarayıcılarını (Chrome, Firefox, Safari vb.)düzenli olarak güncellemek gerekmektedir.

Yedeklemeyi unutmayın

Siber saldırılara karşı düzenli olarak yedekleme yapmak önemlidir. Bu sayede bir saldırı olduğunda önemli olan dosyaları ve belgeleri yedeklerinden ulaşabilirsiniz. Verilerinizi daha sağlama alabilmek için hem internete bağlı olmayan bir kaynakta hem de bulutta saklayabilirsiniz.

Bir güvenlik protokolü geliştirin

Sıfır gün saldırıları gibi olası bir saldırıyı önleyebilme için tüm önlemleri alsanız da, bir saldırı olması durumunda neler yapmanız gerektiğini kesin olarak belirten bir acil durum güvenlik protokolü geliştirmeniz de önemli. Bu protokolleri işletmenizin yapısına göre belirleyip detaylandırabilirsiniz. Örneğin, özellikle aynı ağa bağlı bilgisayarlar üzerinde çalışıyorsanız, Ağ Erişim Kontrolü (NAC) gibi uygulamalar sistemlere erişimi kilitlemek ve saldırıya maruz kalmış olanları temiz olanlardan ayırmak için kullanılabilir.

(Yıldız, 2021)

 

Sıfır Gün Açıklıklarını Saptamak için Çözüm

Sandbox

Sandbox, programın üzerinde çalıştığı sisteme hasar vermeden veya zararlı yazılım bulaştırmadan denenebildiği ortamdır.

Sandbox’da bir program çalıştırıldığı zaman normal sistem üzerinde çalışıyor gibi görevlerini yapar, ancak program çalışmayı durdurduğunda bu görevlerde durur. Sandbox’da veriler saklanmaz. Sandbox sistemler belirli zararlı yazılım tehditlerini analiz etmek ve öğrenmek için de kullanılmaktadır.  Sıfır gün saldırılarını denetleyip önleyebilmek için bazı Sandbox ürünleri işlemci düzeyinde denetim yaparak saldırı başlamadan sona erdirilmesini sağlamaktadır. İşletim sistemi düzeyinde denetleme sağlayan Sandbox ürünleri dosya davranışlarını ve linkleri inceleyerek şüpheli aktiviteleri tespit etmeye çalışmaktadır.

  • Windows Sandbox

Windows Sandbox, güvenmediğiniz programları veya uygulamaları test edebilmek için Sanallaştırma Teknolojisi ile programlarla çalışabilmeye olanak tanımaktadır.

Windows Sandbox kullanabilmek için gereken sistemler;

  • Windows 10 Pro veya Enterprise Insider 18305 derlemesi veya üstü
  • AMD64 mimarisi
  • BIOS’ta sanallaştırma özelliklerinin etkinleştirilmesi
  • En az 4 GB RAM (8 GB önerilir)
  • En az 1 GB boş disk alanı (SSD önerilir)
  • En az 2 CPU çekirdeği (HyperThreading özellikli 4 çekirdek önerilir)

Windows Sandbox’ı kurmak için:

Windows Sandbox’ı kullanabilmek için bilgisayarınızın ve işlemcinizin Sanallaştırma Teknolojisi işlevinin aktif olması gerekmektedir. Şu adımlar ile bakabilirsiniz:

1. Komut İstemi’ni yönetici olarak çalıştırın.

2. “systeminfo.exe” komutunu yazarak çalıştırın.

3. ”Hyper-V Requirements” kısmında yer alan bilgilerin hepsinde ”Yes” yazıyorsa, sisteminiz Sanallaştırma Teknolojisi için hazır anlamını taşımaktadır.

Eğer ki, Sanallaştırma Teknolojisi etkin değilse, bilgisayarınızın BIOS kısmına girerek Virtualization Technology özelliğini aktif etmeniz gerekmetedir.

Windows Sandbox’a erişim sağlayabilmeniz için öncelikle etkinleştirmeniz gerekir.

  1. Denetim Masası’nı açın ve Programlar>Programlar ve Özellikler dizinini izleyiniz.
  2. Burada, sol kısımda bulunan ”Windows özelliklerini aç veya kapat” başlığına ilerleyiniz.
  3. Açılan Windows Özellikleri penceresinde Windows Sandbox özelliğini bulun ve işaretleyerek ”Tamam” butonunu tıklayınız.

  1. Ardından bilgisayarınızı yeniden başlatınız.

Windows Sandbox’ı açmak ve kullanmak:

Artık Windows Sandbox erişim sağlanabilmektedir.

  1. Arama kısmına Windows Sandbox yazın ve gelen arama sonucuna sağ tıklayarak ”Yönetici olarak çalıştır” seçeneğini seçiniz.
  2. Bilgisayarınızda bulunan test etmek istediğiniz programı kopyalayın ve Windows Sandbox’ın içindeki sanal Windows’a yapıştırınız.

Windows Sandbox özellikleri:

  • Şüphelendiğiniz her yazılımı, Windows Sandbox aracılığıyla sanal Windows 10’unuzda test edebilir ve karşılaştırabilirsiniz.
  • Windows Sandbox her çalıştırıldığında Windows’un yepyeni kurulumu kadar temizdir.
  • Windows Sandbox’ı kapattığınızda, sanal Windows’daki her şey silinir ve değişiklik yapmanıza gerek kalmaz.
  • Windows Sandbox oldukça hafif ve izoledir. Sanal GPU, Akıllı Bellek Yönetimi ve Entegre Kernel Zamanlayıcı gibi özellikler kullanır.

(Altunbaş, 2019)

 

  • Windows Sandbox üzerinden örnek bir uygulama indirme:

İnternetten bir uygulama indirelim ve bu uygulama bilgisayarımıza zarar verebilir. Bu yüzden kendi bilgisayarımda değil de Windows Sandbox üzerinde bu uygulamanın zararlı olup olmadığını kontrol etmek istiyorum.

Öncelikle kurulumunu yaptığımız Windows Sandbox’ı açalım.

Daha sonra tarayıcıdan güvenilir olup olmadığını bilmediğimiz, merak ettiğimiz uygulamayı yazarak indiriyoruz. Sumatra PDF adında bir uygulamamız var, uuygulamayı indiriyoruz. 

İndirilen uygulamayı Sandbox’da çalıştırabilmek için uygulamayı kopyalayıp Sandbox pencerisine yapıştırıyoruz. Bu şekilde kendi host bilgisayarımda denemeden Snadbox üzerinde bu programı deniyebiliriz.

   

Bu şekilde programı bilgisayarımıza kurduk ve herhangi bir tehdit olup olmadığını veya bir içeriğimi çalışıp çalmadığını buradaki bilgisayardan kontrol edebiliriz.

    

Windows Sandbox’ı kapattığımızda yüklemiş olduğumuz uygulama tamamen silinecektir.

 

Sonuç

Hızlı gelişen teknoloji ile kullanıcılara büyük bir özgürlük tanınırken, diğer yandan da güvenlik açıklarının oluşması ile bunun kötüye kullanılması ve bir suç işleme mekanizması haline gelmesine neden olmaktadır. Kişilerin, şirketlerin, kurumların siber saldırılar karşısında gerekli önlemleri almaları gerekmektedir. Siber saldırılara karşı bireyler bilinçlendirilmeli ve siber savunmaya daha fazla yatırım yapılmalıdır. Sıfır gün saldırısını fark etmek zor olduğu için korunmak da zorlaşmaktadır. Bu yüzden riski azaltmak için gerekli önlemler alınmalıdır.

 

Kaynakça:

Altunbaş, C. (2019, Mayıs 25). answers.microsoft; Windows Sandbox Kullanımı. answers.microsoft.com: https://answers.microsoft.com adresinden alındı

M. Alkan,” Siber Güvenlik ve Siber Savaşlar” , Siber Güvenlik Siber Savaşlar TBMM Internet Komisyonu, Mayıs 2012.

R.A. Clarke, R.K. Knake, “Cyber War-The Next Threat to National Security and What to Do About It”, New York: HarperCollins Publishers, 74-85, 2010

Yıldız, S. (2021, Mart 30). GoDaddy; Sıfır gün saldırı nedir. GoDaddy Blog: https://tr.godaddy.com adresinden alındı

Yıldız, E. Ç. (2020, Ocak 19). emrecaglaryildiz: ids-nedir-cesitleri-nelerdir. emrevaglaryildiz Web sitesi: https://www.emrecaglaryildiz.com.tr adresinden alındı

 

Öne çıkarılan görsel: https://pixabay.com adresinden 20.05.2022 tarihinde alınmıştır. Creative Commons lisanslıdır.

Bu makale https://www.duplichecker.com/  sitesi üzerinden 24.05.2022 tarihinde kontrol edilmiştir. Makale benzerlik değeri ile kabul edilmiştir. Results Completed: 100% Plagiarism: %18 Unique: % 82

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.