Hackerlarla savaşta zaman daralıyor

İnternet güvenlik şirketi Symantec tarafından 6 ayda bir yayınlanan ‘İnternet Güvenlik Tehdidi Raporu’nun beşincisi açıklandı. Rapora göre, bir güvenlik açığının duyurulması ile bununla ilgili bir istismarın ortaya çıkarılması arasında geçen süre de giderek daralıyor. İnternet güvenlik şirketi Symantec’in ‘İnternet Güvenlik Tehdidi Raporu güvenlik açığı sayısının sürekli yükseldiğini, buna karşın gün geçtikçe etkinliğini artıran hackerlar ile mücadeledeki zamanın hızla azaldığını ortaya çıkardı. 2003 yılı içinde belgelenen güvenlik açığı sayısı 2.636 olurken, bu sayı 2002 yılında 2.587 idi. Rapora göre, günde ortalama 7 güvenlik açığı ortaya çıkıyor. Orta derecedeki güvenlik açıklarının günlük ortalamaları ise 2002 yılında 98 iken 2003’te 115’e yükseldi. Ayrıca, bir önceki yıl güvenlik açıklarının % 60’ı istismar edilmesi “kolay” derecesinde sınıflandırılırken, istismar oranı 2003’te % 70’e çıktı. Yine aynı dönemlerde, “çok ciddi” (highly critical) olarak nitelendirilen açıkların sayısı ise 175’ten 231’e tırmandı. İstismar kodu ‘halka açık’ olan güvenlik açıklarının oranı % 5 artarken, istismar için özel araçlara gerek duyulmayanlardaki artış oranı ise % 6 olarak gerçekleşti. ÖZEL VE GİZLİ BİLGİLER HEDEFTE Rapora göre, 2003 yılının ikinci yarısında özel ve gizli bilgilere yönelik tehditler en hızlı büyüyen tehdit türü oldu. Yılın ikinci yarısında, ilk yarısına kıyasla ilk 10 sırada yer alan kötü niyetli kodların ortaya çıkma miktarında % 519 oranında bir artış gözlendi. Daha eski olan tehditler, gizliliğe rastgele dokümanlar göndererek zarar verirken, görece yeni virüsler ve karma tehditler ise parolaları, deşifreleme tuşlarını ve kaydedilen tuş vuruşlarını ayrıştırıyorlar. INTERNET EXPLORER’DAKİ AÇIKLAR Raporun en dikkat çekici sonuçlarından biri ise kuşkusuz Microsoft Internet Explorer’da yaşanan güvenlik açıklarındaki patlama oldu. Microsoft Internet Explorer’ın islemci tarafının açıkları, 2003’ün ilk yarısında 20 iken, 2003’ün ikinci yarısında % 70’lik artışla 34’e yükseldi. Söz konusu güvenlik açıklarının çoğu, kasten veya farkında olmadan saldırganların, sistemlerin etkilemesine izin vermekte. Internet Explorer’ın pazar hakimiyeti, söz konusu eğilimin kaygı yaratmasının en önemli nedenini oluşturuyor. YAMA ZAMANI DARALIYOR Symantec’in altı aylık son analizinde altı çizilen konulardan biri de herhangi bir kullanıcı müdahalesi olmadan yayılabilen ‘karma tehditler’ oldu. Karma tehditler, 2003 yılının son altı ayında ortaya çıkarılmış olan ilk 10 kötü niyetli kodun % 54’ünü oluşturdu. Söz konusu tehditlerin, bant genişliğinin iyileşmesi ve yazılım açıklarının kapatılması için çıkan yamaların uygulanma sürelerinin de daralmasıyla yayılma hızları artarak, daha önce olmadığı kadar hızlı bir biçimde yaygın hasara sebep oldular. Rapor, Windows bileşenlerini hedef alan artan sayıdaki güvenlik açıkları ve bilgi sistemlerindeki ciddi güvenlik açıklarının şirketler için bu yılın en önemli güvenlik sorunu olacağı vurguladı. ’SIFIR GÜN’ TEHDİTLERİ Keşfedilen güvenlik açıklarının birçoğunun yamalandığını belirten Symantec raporu, yeni keşfedilen güvenlik açıklarının, etkileri, ‘uzaktan istismar’ edilebilmeleri, ‘doğrulanabilirlik’leri ve mevcudiyetlerine göre daha ciddi olarak sınıflandırıldığı belirtildi. Bir güvenlik açığının duyurulması ile istismarının ortaya çıkarılması arasında geçen sürenin de daraldığına dikkat çekildi. Bu eğilimler, “sıfır gün” tehditlerinin çok yakın olabileceğini ima etmesi bakımından büyük önem taşıyor. Söz konusu tehditler, güvenlik açıklarını, daha duyurulmadan ve yamalar piyasaya sunulmadan öncesini hedefliyor ve bu durum söz konusu tehditleri önlemeyi ve engellemeyi son derece zorlaştırıyor. SOLUCANLAR FİNANS SEKTÖRÜNDE 2003 yılının ilk yarısında analiz edilen şirketlerin sadece 6’da biri ciddi bir güvenlik ihlalini bildirirken, aynı yılın ikinci yarısında söz konusu şirketlerin yarısına yakını ciddi güvenlik ihlali bildiriminde bulundular. Solucanların giderek artması ve saldırı faaliyetlerinde daha tehlikkeli hale gelmesi bildirimlerin de mecburen artmasına yol açtı. Tüm saldırı sistemlerinin hemen hemen üçte biri, Blaster kurdu tarafından istismar edilen güvenlik açıklarını hedefledi. Ağır güvenlik vakalarından en fazla zarar gören sektörlerin başında ise finansal hizmetler, sağlık, güç ve enerji geldi. AĞUSTOS 2003 DÖNÜM NOKTASI Geçen yılın Ağustos ayında meydana gelen ve sadece 12 gün içerisinde yeni üç ayrı kategoride 4 solucanın ortaya çıkması kurumsal ve bireysel düzeyde virüs bilincinin artmasını sağladı. Blaster, Welchia, ve Sobig.F dünya üzerinde milyonlarca bilgisayara bulaşmış ve Computer Economics’in tahminlerine göre 2 milyar ABD Doları’na varan zarara neden olmuştu. HACKERLAR ‘PACKER’LARI KULLANIYOR Symantec’in raporu, 2003 yılının ikinci yarısında 2002 yılının aynı dönemine oranla ikibuçuk kat daha fazla Win32 virüs ve solucanının ortaya çıktığının altını çiziyor. Buna göre 2002 yılının ikinci yarısında bunların sayısı 687 adet iken, 2003 yılının aynı döneminde bu sayı 1.702’ye yükseldi. Ortaya çıkan bu virus ve solucanların arasında Blaster, Welchia, Sobig.F, ve Dumaru bulunuyor. Raporda, bu yeni tehditlerle ilişkili olan bazı eğilimlerin de dikkat çekici boyutları sunuldu. İSTİSMAR SÜRESİ KISALDI İlk çarpıcı bulgu, güvenlik açığının duyurulması ile bu açığın yaygın olarak istismar edilmesi arasında geçen sürenin giderek kısalması. İkinci önemli nokta ise, hackerların, giderek artan bir şekilde kötü niyetli kodları gizlemek için ‘packer’ları kullanıyor olması. ‘Packer’lar, işletilebilir olan Windows dosyalarını sıkıştırıp, şifreleyerek bu dosyalarda bulunan kötü niyetli kodların sezilmesini zorlaştırıyorlar. Ortaya atılan ilk 10 kötü niyetli kod arasında, kendi posta motorunu kullanan kitle postası gönderen solucanların sayısı, 2003 yılının ikinci yarısında aynı yılın ilk yarısına oranla % 61 oranında arttı. Sezgisel tespit yeteneğine sahip virüs koruması programları, bu çeşit tehditlere karşı direnebiliyor. ‘ARKA KAPILAR’DAN GİRİŞLER ARTTI Raporun bir diğer ilgi çekici sonucu, saldırıların artan oranlarda diğer saldırgan ve solucanlar tarafından bırakılan ‘arka kapı’lar üzerinden gerçekleşmesi. Var olan arka kapıları kullanarak, hedeflenen sistemin kontrolünü ele geçiren saldırganlar, ya kendi arka kapılarını kuruyorlar ya da etkilenen sistemlere DDOS (distributed denial of service) saldırısı düzenliyorlar. mydoom Sobig.f’i solladı Bu eğilimin bu yılki en iyi örneği Ocak 2004’te yaşandı. MyDoom, Sobig.F virüsüne benzer bir hızla yayıldı. Virüs bulaştığı sistemleri arka kapı yoluyla açarak, hedeflenen bir saldırıyı gerçekleştirmek suretiyle yayılmaya başladı. Daha sonra ortaya çıkan Doomjuice ve Deadhat isimli iki yeni solucanın her ikisi de MyDoom’un bıraktığı arka kapı kanalıyla yayıldı. MyDoom daha sonra tarihin en hızlı yayılan virüslerinden biri olarak değer kazandı. TAVSİYE EDİLEN UYGULAMALAR Symantec, kullanıcı ve sistem yöneticilerinin bilgi varlıklarını daha iyi koruyabilmeleri için aşağıda sıralanan en iyi güvenlik uygulamalarına bağlı kalmaya teşvik etmektedir: İhtiyaç duyulmayan hizmetlerin kapatılması veya silinmesi. Yama seviyelerini, özellikle de ana genel amaçlı hizmetleri barındıran ve HTTP, FTP, posta ve DNS hizmetleri gibi güvenlik duvarından erişilebilir bilgisayarlarda bulunanların sürekli güncel tutulması. Virüs tanımlamalarının güncellenmesi. Şirketler ve tüketiciler, en yeni virüs tanımlarını yüklemek suretiyle normal günlük işlemler sırasında veya farkında olmayan kullanıcıların bilgisayarları üzerinde yayılan virüsler olarak bilinen virüslere karşı kendilerini koruyabilirler. Parola kullama kuralına işlerlik kazandırılması. E-posta serverlarının .vbs, .bat, .exe, .pif, ve .scr dosyaları gibi virüs yaymak için yaygın olarak kullanılan ekler içeren e-postaları bloke etmek üzere yapılandırılması. Virüs bulaşmış olan bilgisayarları daha fazla kayıp verilmesini önlemek için hızlı bir şekilde izole edilmesi. Çalışanların sadece bekledikleri ekleri açmaları ve internetten indirilen yazılımların virus taramasından geçirmeleri konusunda bilinçlendirilmeleri ve gerekirse eğitilmeleri. Acil saldırı cevaplama prosedürlerinin oluşturulması. Şirketlerin güvenlik önlemleri için ayrılan bütçelerin gerekirse artırılması. RAPOR NASIL HAZIRLANIYOR? Symantec’in dünya genelinde kurulu bulunan altı ‘Güvenlik Operasyonu Merkezi’ ve dokuz ‘Yanıt Laboratuvarı’nda görevli analistler, güvenliğin genel görünüşü ile ilgili küresel bir perspektif kazanmak için güvenlik verilerini izliyor ve değerlendiriyorlar. Bu raporun bulguları, Symantec Managed Security Services (Yönetilen Güvenlik Hizmetleri) müşterilerinden gelen anonim veriler ile 180’den fazla ülkede konuşlandırılmış olan 20.000 güvenlik cihazına dayanıyor. Raporda, saldırıların nasıl ve neden bazı kuruluşları diğerlerine kıyasla daha ağır bir şekilde etkilediği ve güncel eğilimlerin gelecekte internet güvenlik tehditlerini nasıl şekillendireceği inceleniyor.