Geçtiğimiz aylarda bilgi güvenliği dünyasını meşgul eden haberlerin başında Stuxnet adlı kötücül yazılım gelmektedir.
Benim hakkında en fazla yazı okuduğum bir o kadar da tüm yazılanlardan sonra hayretle “bu da asıl konuyu ıskalamış” dediğim bir konu olmakla da benim tarihime geçmiş bulunuyor:)
Stuxnet konusunda bir iki medya sitesine röportaj hazırlığı içerisindeydik ama hep konunun magazinsel kısmının ön plana çıkarılmak istenmesi bu isteğimizi yayan bıraktı.
Hakkında çıkan haberlere alternatif bir haber olamayacaksa neden yeni bir tekrar olsun ki?
Internette okuduğum haberlerden derlediğim başlıklarla kısa kısa Stuxnet:
Stuxnet nedir? Nasıl çalışır, yayılmaktadır?
Belaruslu Antivirüs firması VirusBlokADA tarafından yaklaşık bir yıl önce keşfedildi.
Stuxnet bilgisayara harici olarka bağlanan veri depolama sistemlerin aracılığıyla bulaşmaktadır. Çıkan haberlerden özellikle USB aygıtları kullanarak yayıldığı görülmektedir. Ek olarak bulaştığı sistemlerde sadece Siemens firmasının yazılımına bakmaktadır, eğer bu yazılımı bulamazsa herhangi bir şey yapmadan beklemektedir ve ağdaki diğer makinelere bazı belirli hesapları deneyerek kendini yaymaya çalışmaktadır.
Stuxnet’i diğerlerinden ayıran özellikler
Stuxnet 4′i 0 day toplamda 5 farklı güvenlik zaafiyetini kullanmaktadır.
Mesela kendisini sisteme rootkit olarka gizlemek için kullandığı yöntem: Stuxnet kendi sürücülerini Windows’a yüklereyek piyasada bilinen çoğu antivirüs firmasının korumasını aşmayı başarabilmiştir.
Windows sistemlere sürücü yükleyebilmek için ilgili sürücünün tanınmışi bir sertifika otoritesinden imzalı olması gerekir. Burada Stuxnet geliştiricileri iki farklı sertifika otoritesi tarafından onaylanmış imza kullanarak Windows’un bu korumasını atlatmayı başarmıştır.
Stuxnet nasıl temizlenir?
Tüm antivirüs firmaları Stuxnet için imza veritabanlarını güncellemiştir.
Klasik wormlardan farklı olarak işletim sisteminin kendisine zarar vermemesi klasik temizleme yöntemlerini de aslında geçersiz kılıyor. Wormun amacı PLC(programmable logic controllers) sistemleri etkilemek olduğu için PLC sistemlere de bir denetim yapılması zorunlu hale gelmektedir.
Ek not: Autorun özelliğinin kapatılması Stuxnet’in yayılımını engellememektedir.
Stuxnet Haziran 2012′de kendi kendine zararsız hale gelecektir.
Stuxnet hakkında çıkan haberler doğru mudur?
Stuxnet medyanın dikkatini normalden fazla çekmiştir. Teknik analizler harici sosyal medyada çıkan haberlerin çoğu gerçeği yansıtmaktan uzaktır. Henüz bu yazılımın tam olarak ne amaçla yazıldığı konusunda kesin bilgi yoktur.
Diğer yandan ciddi haber kaynaklarının bazılara göre Stuxnet İran tarafından gerçekten ciddiye alınmıştır ve bunu siber savaşın ilk adımları saymaktadır.
”
Communications and Information Technology Minister Reza Taqipour stated that Iranian engineers possess the expertise to create the required anti-virus software to clean the malware-infected systems.
Taqipour also said that no crashes or serious damage to the country’s industrial computer systems have been reported so far.
”
SCADA ne demektir?
Supervisory Control and Data Acquisition kelimelerinin ilk harflerinin kısaltılmışıdır.
Kapsamlı ve entegre bir Veri Tabanlı Kontrol ve Gözetleme Sistemi (Supervisory Control and Data Acquisition (SCADA) ) kontrol sistemi sayesinde, bir tesise veya işletmeye ait tüm ekipmanların kontrolünden üretim planlamasına, çevre kontrol ünitelerinden yardımcı işletmelere kadar tüm birimlerin otomatik kontrolü ve gözlenmesi sağlanabilir. Anlık olay ve alarmları saklayarak gecmiste meydana gelen olaylarıda tekrar gunun tarihinde ve saatinde gözlemleyebilmemizide saglayan genis kapsamlı mükemmel bir sistemdir. (Wikipedia)
Stuxnet neden bu kadar ilgi çekti?
İşin içinde İran-USA-İsrail kelimelerinin telaffuz edilmesi Stuxnet’in medyada daha fazla gündem almasına sebep oldu.
Bir yandan da antivirüs üreticilerinin değişik kanallardan medyaya olayın boyutlarını abartan haberler vermesi sonucu tekrar tekrar magazinsel haberlerle karşılaşır olduk. Son zamanlara doğru hakikaten okuyanları mest eden teknik analizlerde yayınlanmaya başladı.
Stuxnet bilgi sızdırma amaçlı işleve sahip midir?
Stuxnet’in etkiledeği sistemler genellikle internetten bağımsız, yalıtılmış SCADA ağlarıdır. Dolayısıyla Stuxnet’in bilgi
sızdırma için değil de çalışan yapıyı değiştirme bozma amaçlı bir yazılım olduğu söylenebilir.
Stuxnet’den nasıl korunulur? Veya neler yapılsa Stuxnet sistemlerimize bulaşmazdı
Yorum: Stuxnet’i sadece kompleks bir malware olarak algılayıp üzerinden siber savaş senaryoları üretmek sadece bu işten para kazanan üreticilerin/ülkelerin işine gelir. Olayın en önemli boyutlarından biri olan sistemlerin fiziksel güvenliği, bilgi güvenliği politikalarının uygulanmaması üzerinde hiç konuşulmaması oldukça ilginçtir ve bana göre bilgi güvenliğini yanlış yorumlamanın sonucudur.
Hiç kimse bir yazılım geliştirerek her derde çare olacağını söyleyemez, bunun tam tersi de doğrudur. O zaman sistemleri tek bir yapıya emanet etmek yerine bugüne kadar defalarca tecrübe edilerek standart haline gelmiş yapılara emanet etmek daha uygundur.
Bu kadar hayati öneme sahip sistemler nasıl bu kadar kolay hedef alınabiliyor?
Belki her kapı girişinde göz taraması olan, bilgisayarlarının tamamını yalıtılmış bir ağda çalıştıran , kesinlikle yabancı ülkelerden akredite olmayan kişileri ülkesine sokmayan bir yapının bu kadar kolay bir şekilde Stuxnet’e teslim olması bence başlı başına bir skandaldır.
Evet Stuxnet bugüne kadar görülmemiş bir yapıda özelliklere sahip olabilir, ilerde çok daha karmaşık, akıllı kötücül yazılımlarla tanışağız da ama biz bilgi güvenliği politikalarımızı sağlam bir şekilde uygulamaya koyarsak bu tip yazılımların etkisinden o oranda korunmuş oluruz.
Kaynaklar:
http://en.wikipedia.org/wiki/Stuxnet
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.mehrnews.com/en/NewsDetail.aspx?NewsID=1158506
http://www.symantec.com/connect/blogs/stuxnet-introduces-first-known-rootkit-scada-devices
http://dvlabs.tippingpoint.com/blog/2010/09/23/elegant-worm-how-stuxnet-is-redefining-the-game
http://www.f-secure.com/weblog/archives/00002040.html
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
http://it.slashdot.org/story/10/10/01/212242/Stuxnet-Analysis-Backs-Iran-Israel-Connection
http://anti-virus-rants.blogspot.com/2010/09/stuxnet-revisited_27.html
http://www.beyazsapka.org/makaleler/stuxnet-nedir-ve-nasil-engellenebilir
http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/stuxneti-ozel-yapan-ne.html
http://www.informit.com/articles/article.aspx?p=1636983
http://www.guardian.co.uk/world/2010/oct/03/iran-nuclear-stuxnet-computer-worm
emeğine sağlık