COVID-19 salgını hayatın her alanında olduğu gibi siber dünyayı da derinden sarstı. Güvenlik için birçok yatırımların ve sıkılaştırmaların yapıldığı ve çeşitli güvenlik araçlarıyla koruma altına alınan ofis ortamından çıktık. Ev ortamına geçmek ve uzaktan çalışmaya başlamak, büyük bir zafiyeti de beraberinde getirdi. Çünkü ev ortamında herkes kendi siber güvenliğini kendi sağlamak durumunda ve siber saldırılarda COVID-19 etkisi göz ardı edilemeyecek seviyede.

Bu hususu dikkate alan Sophos 2021 Tehdit Raporu “Saldırılarda COVID nasıl bir güç çarpanı haline geldi?” sorusunu soruyor ve raporda bu soruya cevaplar aranıyor. Saldırganların özellikle beyaz yakalıları hedef almaya başladılar. Özellikle SPAM e-posta tacizleri pandemi döneminde daha çok arttı. Kişisel temizliği sağlamaya yönelik koruyucu ekipmanlardan tutun da tuvalet kağıtlarına varana kadar birçok malzemede yaşanan kıtlığı bile fırsata çevirmeye çalışan siber saldırganlar türedi.

Yeni Çevremiz: Ev

Eski normale Mart 2020’de çoğumuz veda ettik. Hastanelerde oluşmaya başlayan hasta yoğunluğunu azaltmak, sağlık sisteminin çökmesini engellemek ve salgının yayılma hızını düşürmek üzere bütün dünyada tüm öğrenciler evlerine gönderildi, iş dünyasında ise uzaktan çalışma imkanı olan herkes evlerinden çalışmaya başladı.

Bir anda hiç olmadığımız kadar çok evde olmaya ve evden çalışmaya başladık. Birçok insan ofise/okula gitmeden her şeyi evden yaptığımız yeni normale alışmakta zorlandı. VPN ile uzak erişime ve 2FA (İki Adımlı Doğrulama) hizmetlerine talep arttı. Tablet ve dizüstü bilgisayarlar piyasada zor bulunur hale geldi. Video konferans uygulaması Zoom, 2 ay gibi kısa bir sürede 10 yıla tekabül edecek seviyede büyüme yaşadı.

COVID-19 ile birlikte SPAM e-postaların oranındaki belirgin artış. Kaynak: SophosLabs.
COVID-19 ile birlikte SPAM e-postaların oranındaki belirgin artış. Kaynak: SophosLabs.

Hepimiz Bilgi İşlem Birimine Dönüştük

COVID-19 ile birlikte herkes kendi kendisinin bilgi işlem yöneticisi oldu. Güvelik güncelleştirmelerini ve yamaları cihazlarımıza kendimiz uygulamak durumunda kaldık. Bu hususlardaki zafiyetlerde veya bunları yönetemediğimiz durumlarda ise toplantılara katılmakta, çocukların çevrimiçi eğitimlerine devam etmelerinde sorunlar yaşadık.

Kameralar ve mikrofonlar hususunda güvenliği sağlamak adına herkes kendi tedbirlerini artırdı, bir şekilde korunmaya çalıştı. Zoom toplantılarına sızan kötü niyetli kişilerin haberlerini dahi gördük. Özellikle çocuklar olmak üzere yeni normalin dijital tehlikelerine karşı hepimiz bir şekilde kendimizi eğittik ve önlemler almaya gayret ettik.

Tüm bu süreç hiç de kolay değil. Bugün bile Şubat 2020’de olduğumuz noktaya dünya çapında geri dönebilmiş değiliz. Bazı insanlar yeni normalin yarattığı ve uzun vadede sürdürülebilir fırsatların peşinden gitme taraftarı, bazıları ise kısıtlamalar hafiflese bile uzaktan çalışmaya devam ediyor.

Tüm bu süreç ve içinde bulunduğumuz pandemi koşulları ev ağlarının son bir savunma hattı olarak görülmesini sağladı. Salonunuzdaki modem artık iş dünyasının da bir parçası ve bu modemi savunmak, yeni normaldeki ev-ofisinizi korumak için her şeyi baştan ve ciddi şekilde ele almak gerekiyor.

Hizmet Olarak Crimeware (Crimeware as a Service)

Kötü amaçlı olarak üretilen yazılımlar veya kötü amaçlı yazılımların kolayca temin edilmesini ve geliştirilmesini sağlayan araçlar doğrudan olarak satılmazlar. Ancak abonelik yöntemi kullanılarak sürdürülürler. Bu iş modeli Sophos tarafından “Hizmet Olarak Suç Yazılımı” (CaaS) olarak adlandırıldı ve CaaS artık yeni normalin bir parçası oldu.

CaaS yazılımlarından en bilineni Emotet. İstenmeyen (SPAM) e-postalar onlarca yıldır ortalıkta dolaşıyor ve malesef ki suç işlemek, kötü niyetli yazılımları yaymak için SPAM e-postaları kullanmak etkili ve sorunsuz bir çözüm haline gelmiş durumda. Emotet siber güvenlik araştırmacıları tarafından toplu yükleyiciler olarak adlandırılan kötü amaçlı yazılım sınıflarından birisi. Emotet’in amacı hedef bilgisayara kötü amaçlı yazılımları göndermektir. Bunu da SPAM e-postaları kullanarak başarır.

COVID-19 salgınının başladığı süreçte 5 ay boyunca, normalde saldırılar gönderen SPAM e-postaların büyük çoğunluğu ortadan kalktı. Ancak Emotet Temmuz ayında karanlıktan aydınlığa tekrar çıktı ve SPAM e-posta saldırıları tekrar başladı.

Bir başka önemli CaaS yazılımı ise Dharma’dır. Dharma, bu işlere heves eden siber suçluları eğitmek için kullanılan bir yazılımdır. Bu suçlular Dharma’yı oluşturanlara abonelik ücreti öderler ve herhangi bir siber saldırı sonucunda elde ettikleri geliri paylaşırlar. Bu çalışma modellerinin bir süre daha işlevsel olmaya devam etmesi bekleniyor.

SPAM ve Dolandırıcılık

Pandemi sebebiyle dünya çapında uygulanan kısıtlamalara SPAM e-postalar üzerinden yayılan dolandırıcılık vakaları eşlik etti. En etkili SPAM e-posta yöntemi kullanıcıları harekete geçirecek heyecanlandırıcı ve korkutucu senaryolar üretmektir. Böylece kullanıcıya bir aciliyet hissi verilir ve düşünmeden hareket etmesi sağlanır. İyi bilinen bu psikolojik yöntem sayesinde normal şartlarda kullanıcı biraz durup düşünse bir sahtecilikle karşı karşıya olduğunu fark edebilecekken, kötü niyetli kişilerin “korku”yu tetiklemesi sonucu tuzağa düşer.

COVID-19 salgını sebebiyle zaten herkes tetikte, herkes korku içerisinde olduğundan SPAM e-posta gönderenlerin ekstra bir çaba sarf etmelerine gerek kalmadı.

İlginç bir şekilde pandemi başladıktan birkaç hafta sonra covid-19, corona veya virüs kelimelerinin kombinasyonlarından oluşan yeni alan adı kayıtlarında (domain) patlama yaşandı. Bu alan adlarından bazıları eğlence amaçlı olsa da çoğu “gerçek” gibi görünen alan adlarıydı.

COVID-19 ile birlikte alan adlarındaki (domain) artış. Kaynak: SophosLabs.

Uzaktan Çalışma ve Güvenli Bulut Bilişim

Pandemi başladığında insanlar daha önce benzeri görülmemiş bir şekilde değişim yaşadılar. İşlerimiz, okula gitme, etkinliklere katılma, konferanslar, sosyal faaliyetler vb. her şey dijitale taşındı. Bu değişimin temelinde tabii ki bulut bilişim var. Ancak bulut bilişim bu değişim karşısında güle oynaya devam etmedi, birçok zorluk yaşandı.

Bulut bilişime olan yoğun ilgi, bulut ortamlarının siber tehditlere karşı savunmasını zayıflattı. Çünkü kötü amaçlı yazılımlar her yerde olduğu gibi bulutta da kötüler. Örneğin cryptojacking buluttaki sorunlardan birisi. Kripto para madenciliği fiziksel cihazlarla gerçekleştirildiğinde elektrik faturalarını yükseltirler. Ancak bu işlem bulutta gerçekleştirilmeye başlandığında sonuçlar daha ağır olabilir. Böyle bir durumda harcanan enerji bulut sağlayıcılara faturalandırılır.

Birçok bulut bilişim sağlayıcı ise tıpkı fiziksel makinelerde olduğu gibi fidyde yazılım saldırılarına maruz kaldılar. Bulutta da olsa fidye yazılımları her türlü depolama aracını kolay bir şekilde şifreleyebilirler. Böyle bir durumda bulut bilişim sağlayıcıları hem fidye ödenmesiyle hem de şifrelenmiş verileri çözmek için harcanan faturayla baş başa kalabilirler.

Geçtiğimiz yıl yaşanan saldırı türleri. Kaynak: SophosLabs.

Uzaktan çalışmaya başlamamızla birlikte bilgi işlem birimleri kısıtlamalar öncesinde olduğu gibi bir yardım masası hizmeti vermenin yolunu aramaya başladılar. COVID-19 etkisiyle ihtiyaç duyulan değişikler üç dalga halinde geldi:

Birkaç hafta içerisinde ilk dalga erişim dalgası şeklinde başladı.

Bir anda işyerine gidemeyen milyonlarca çalışan kuruluşlarının kaynaklarına erişebilmek için VPN talebinde bulundu. Bu talep o kadar yoğundu ki BT birimlerinin elindeki mevcut kaynağın ötesine geçti. VPN taleplerine ek olarak kuruluşların yeni güvenlik duvarlarına ve diğer güvenlik araçlarına ihtiyaç duydukları açık bir şekilde ortaya çıktı.

COVID-19 öncesinde VPN genelde çok seyahat eden çalışanlara tahsis edilirdi. Fakat salgın başladıktan birkaç ay sonra VPN bağlantısı çalışanlar için adeta bir cankurtarana dönüştü.

Bu noktada ise çalışanların evden VPN’e erişmeleri için kişisel cihazlarını kullanmamaları gerektiği kısa sürede fark edildi. Azalan dizüstü bilgisayar arzı sebebiyle BT ihtiyaçları konusunda kurumlar ekstra zorluk yaşamaya başladılar. Yeterli fiziksel makineler olmadığı için güvenli bir çalışma ortamı sanal makineler ile sağlandı. Yani ikinci dalga, sanal masaüstü dalgası başladı.

Çalışanlar sanal bir kurumsal masaüstü kullanmaya geçiş yaptıkça bu sanal makineleri bulutta barındırmak pratik ve maliyet açısından anlamlı hale geldi. Ancak yine de güvenlik korumasına ihtiyaç vardı.

Bir anda bilgi işlem çalışanları yüzlerce hatta binlerce sanal makine için destek vermeye başladılar ve sanal sunucuların, sanal makinelerin ve diğer bulut hizmetlerinin envanterini çıkarıp güvenli bir şekilde yapılandırmak için uğraştılar. Bu da üçüncü dalga: Bulut yönetimi dalgası.

Reuters tarafından yapılan yakın tarihli bir ankette, ankete katılan CEO’ların ve CTO’ların yüzde 97’si pandemi kısıtlamalarının yeni teknolojilere geçişlerini hızlandırdığını söylüyor. Ancak kısıtlı bütçeler ve belirsizlik dönemlerinde CTO’ların neredeyse üçte biri, görevlerinin bu değişiklikleri mümkün olduğunca uygun maliyetli bir şekilde uygulamak olduğunu ifade ediyorlar.

Sophos’un en son Bulut Güvenliği Raporunda bulut bilişimle ilgili güvenlik olaylarının çoğu iki temel sebebe dayanıyor. Kimlik bilgilerinin çalınması veya ihlallere yol açan yanlış yapılandırmalar. Bulut Güvenliği Raporu için ankete katılan 3.700’den fazla BT uzmanından onda yedisi, destekledikleri bulut altyapısının anketten önceki 12 ay içinde en az bir ihlal yaşadığını ifade ettiler.

Sonuç

Siber saldırılar COVID-19 pandemisinden önce de vardı, hâlen var ve bundan sonra da olmaya devam edecek. Ancak uzaktan çalışmak BT birimleri başta olmak üzere herkes için daha önce tecrübe edilmemiş birçok teknolojiyi masaya yatırma fırsatını sundu. VPN bağlantısı kurmak önceden belirli kategorideki çalışanları ilgilendirirken artık herkes VPN’in ne olduğunu ve nasıl kullanıldığını öğrendi.

Pandemi siber suçluların iştahını açacak fırsatları beraberinde getirmekle birlikte iyi haber şu ki artık aksiyonlar daha hızlı alınabiliyor ve insanlar dijital teknolojileri daha bilinçli kullanma konusunda gayret gösteriyorlar. Salgının bir an önce sona ermesi ve özellikle siber güvenlik konusundaki tecrübelerin ve bilincin salgın sonrasında da sürdürülmesini temenni ediyorum.

Hiç unutulmamalı ki “%100 güvenlik yoktur, en güvenli sistem fişi çekilmiş sistemdir.”

Yazar Hakkında

Muhammed Tutar

bilgisayar mühendisi, bilgi güvenliği uzmanı. önce okur, sonra yazar.

Tüm yazıları göster