Köle Bilgisayar ve Köle Bilgisayar Ağları

Mustafa Ünver

2000'li yıllara girilmesiyle birlikte önce dünyada sonra ülkemizde teknolojide büyük bir dönüşüm gerçekleşmiştir. Yaşanan bu dönüşüm internet kullanımının hızlı bir şekilde artmasını da beraberinde getirmiştir. Diğer yandan sosyal ağların popüler hale gelmesi bireylere sosyalleşmek için yeni ortamlar sağlamıştır. İnternet kullanımın çok yüksek oranlarda olduğu günümüzde internet ve siber ortamda devletin gözetim teknolojilerini kullanması; internet servis sağlayıcılarının ve şirketlerin pazarlama faaliyetleri amacıyla çevrimiçi ortamda bulunan kişisel verilerimizi toplaması; tam olarak neye ve kime hizmet ettikleri bilinemeyen bilgisayar korsanlarının ise kötü amaçlı faaliyetleri internet güvenliği ile çevrimiçi gizlilik alanında birçok ihlale sebep olmaktadır. Bu çalışmada devlet, pazarlama şirketleri ve bilgisayar korsanlarından oluşan üç unsurun internet güvenliği ve çevrimiçi gizlilik alanlarında gerçekleştirdikleri ihlaller teknoloji basınında çıkan haberler üzerinden ele alınmıştır. Bu üç unsurun gerçekleştirdikleri ihlaller sırasında kullandıkları teknolojiler analiz edilmiş ve bu teknolojilerle ilişkili kavramlar tanımlanmıştır. Çalışmada ayrıca, ülkemizdeki internet kullanıcılarının internet güvenliği ve çevrimiçi gizlilik alanlarındaki ihlaller karşısında kanaatlerini ve farkındalıklarını değerlendirmek amacıyla bir anket araştırması gerçekleştirilmiştir. Araştırma bulguları, çevrimiçi gizlilik ve güvenlik ihlalleri karşısında internet kullanıcılarının farkındalık boyutunun yüksek olduğunu; fakat bu ihlaller karşısında internet kullanımından vazgeçme eğilimlerinin düşük olduğunu göstermektedir.

Dünyanın sahip olduğu kaynaklar hızlı bir şekilde tükenirken bu durum karşısında şehirlerin mevcut altyapıları yetersiz kalmaktadır. Şehirlerdeki hızlı nüfus artışı, istihdam, barınma, kaliteli yaşam, eğitim, sağlık, ulaşım, su, elektrik, temiz hava ve yeşil alan gibi ihtiyaçların karşılanmasını güçleştirmektedir. Ortaya çıkan bu durum, mevcut altyapıların daha verimli ve akıllı kullanımını zorunlu hale getirmektedir. Sunulacak hizmetlerin daha az maliyetle ve daha verimli şekilde gerçekleşmesini sağlayacak olan akıllı teknolojiler, şehirlerde sürdürülebilir yaşam için kilit bir rolde olacaktır. Akıllı şehirler, doğal kaynakların, insan kaynağının ve finansal kaynakların etkin kullanımını sağlarken, maliyet tasarrufunu da teşvik edecektir. Bu yeni süreçte ulusal ve yerel bütün karar alıcılara en büyük destek ise Bilgi ve İletişim Teknolojilerinden (BİT) gelecektir. Bu kapsamda bilişim dünyasında büyük ses getiren teknolojilerden birisi olan Nesnelerin İnterneti (IoT) kavramı karşımıza çıkmaktadır. IoT, çeşitli haberleşme protokolleri sayesinde birbirleriyle haberleşen farklı nesnelerin bir araya gelerek bir ağ oluşturmasını ve bilgi paylaşmasını sağlayan anahtar bir teknolojidir. Ulaşım sistemlerinin gelişmesi, trafik sıkışıklığının azaltılması, atık yönetiminin sağlanması gibi insan yaşamının kalitesini arttırmayı amaçlayan hizmetlerin IoT ile gerçekleştirilmesi, şehirleri akıllı hale dönüştürür. Bu çalışmada, IoT’nin mevcut durumu, gelişimi, karşılaştığı zorluklar ve gelecek yönelimleri sunulmuştur. IoT tabanlı çeşitli akıllı şehir projelerinin, yaşam laboratuvarlarının ve sınama ortamlarının genel değerlendirmesi yapılmıştır.

Köle Bilgisayar ve Köle Bilgisayar Ağları (Zombi ve Botnetler) Mustafa ÜNVER Cafer CANBAY Yüksel GÜNAYDIN ISBN: 978-9944-0189-5-1 © Tüm yayın hakları Yazarlara aittir. Yazarların izni olmaksızın, hiçbir biçimde ve hiçbir yolla, bu kitabın içeriğinin bir bölümü ya da tümü yeniden üretilemez ve dağıtılamaz. Kapak Tasarımı: Evrim ÇETİNKAYA 1. Basım, Nisan 2011 Bilgi Teknolojileri ve İletişim Kurumu Yeşilırmak Sokak No 16, 06430 Demirtepe/ANKARA Tel: (312) 294 72 00 Faks: (312) 294 71 45 İnternet: http://www.btk.gov.tr Köle Bilgisayar ve Köle Bilgisayar Ağları (Zombi ve Botnetler) Mustafa ÜNVER Cafer CANBAY Yüksel GÜNAYDIN ĠÇĠNDEKĠLER Sf. 1. GĠRĠġ ................................................................................................................... 1 2. KÖTÜCÜL YAZILIMLAR ...................................................................................... 4 2.1 Kötücül Yazılımlar Nasıl ÇalıĢır? ................................................................... 4 2.2 Kötücül Yazılımların Sınıflandırılması ............................................................ 8 2.2.1 Virüs ........................................................................................................ 8 2.2.2 Solucan (Worm) ...................................................................................... 8 2.2.3 Truva atı (Trojan horse) .......................................................................... 8 2.2.4 ĠĢletim sisteminin kontrolünü ele geçiren yazılım (Rootkit) ...................... 9 2.2.5 Casus yazılım (Spyware) ........................................................................ 9 2.2.6 Arka kapı (Backdoor) ............................................................................ 10 2.2.7 Yükleyici/indirici (Downloader) .............................................................. 10 2.2.8 Reklam yazılımı (Adware) ..................................................................... 10 2.2.9 Fidye yazılımı (Ransomware) ............................................................... 11 2.2.10 Robot program (Bot) ............................................................................. 11 2.3 Saldırganların Amaçları ............................................................................... 11 2.4 Kötücül Faaliyetlerin Ülkelere Göre Dağılımı ............................................... 14 3. BOT PROGRAMLARI ........................................................................................ 16 4. KÖLE BĠLGĠSAYAR (Zombi) .............................................................................. 24 5. KÖLE BĠLGĠSAYAR AĞLARI (BOTNETLER) .................................................... 25 5.1. KBA’ların GeliĢimi ........................................................................................ 27 5.2. KBA’ların Türleri ......................................................................................... 31 5.2.1 Mimarisine göre KBA sınıflandırması .................................................... 31 5.2.2 Ağ protokolüne göre KBA sınıflandırması ............................................. 40 5.3 KBA Ticareti ................................................................................................ 44 5.4 KBA’lar Ne Amaçla Kullanılmaktadır? ......................................................... 50 iii 5.4.1 Ġstem dıĢı e-posta göndermek............................................................... 50 5.4.2 ġantaj mesajı göndermek ..................................................................... 51 5.4.3 Anonim internet eriĢimi elde etmek ....................................................... 52 5.4.4 KBA’ları kiralamak / satmak .................................................................. 52 5.4.5 Yemleme ............................................................................................... 52 5.4.6 Gizli verilerin çalınması ......................................................................... 53 6. ULUSLAR ARASI ÇALIġMALAR ....................................................................... 54 6.1 ITU’nun ÇalıĢmaları ..................................................................................... 54 6.1.1 Genel bakıĢ ........................................................................................... 54 6.1.2 Politika Rehberi ..................................................................................... 54 6.1.3 Teknik Rehber....................................................................................... 68 6.1.4 Sosyal Rehber ...................................................................................... 76 6.2 APEC’in ÇalıĢmaları .................................................................................... 78 6.2.1 Mevcut durum sorunlar ve problemler ................................................... 78 6.2.2 KBA’lara karĢı koymada karĢılaĢılan zorluklar ...................................... 79 6.2.3 Politika ve teknoloji rehberi ................................................................... 84 7. BĠR ÜLKE ĠNCELEMESĠ - JAPONYA .............................................................. 117 7.1 Siber Temizlik Merkezi .............................................................................. 117 7.2 Siber Temizlik Merkezinin Amacı............................................................... 117 7.3 Siber Temizlik Merkezinin Yapısı............................................................... 118 7.3.1 Siber temizlik merkezi yönetim kurulu ................................................. 118 7.3.2 Bot programı karĢı önlem sistem operasyon grubu ............................. 119 7.3.3 Bot programı analiz grubu ................................................................... 119 7.3.4 Bot programı bulaĢmayı önleme tanıtım grubu ................................... 119 7.3.5 Projeye Katılan KuruluĢlar................................................................... 120 7.3.6 Siber Temizlik Merkezinin Farkındalık Faaliyetleri .............................. 121 8. SONUÇ ............................................................................................................ 124 iv KISALTMALAR a.g.e. Adı Geçen Eser ABD Amerika BirleĢik Devletleri Access Control List ACL EriĢim Kontrol Listesi Australian Communications and Media Authority ACMA Avustralya HaberleĢme ve Medya Otoritesi Australian Internet Security Initiative AISI Avustralya Ġnternet Güvenliği GriĢimi America Online AOL Amerika Çevrimiçi Asia-Pacific Economic Cooperation APEC Asya Pasifik Ekonomik ĠĢbirliği Asia-Pacific Economic CooperationTelecommunications and Information Working Group APECTEL Asya Pasifik Ekonomik ĠĢbirliği Telekomünikasyon ve Bilgi ÇalıĢma Grubu Application Programming Interface API Uygulama Programlama Arayüzü Asia-Pacific Telecommunity APT Asya Pasifik Telekom Birliği Anti Phishing Working Grup APWG Yemleme KarĢıtı ÇalıĢma Grubu Autonomus System AS Otonom Sistem Active Server Page ASP Aktif Sunucu Sayfası v Border Gateway Protocol BGP Kenar Ağ Geçidi Protokolü BĠT Bilgi ve ĠletiĢim Teknolojileri BT Bilgi Teknolojileri C&C Command and Control K&K Komuta ve Kontrol Coalition Against Unsolicited Commercial Email / Asia Pacific Coalition Against Unsolicited Commercial Email CAUCE/APCAUCE Ticari Ġstem DıĢı E-Posta KarĢıtı Koalisyon / Ticari Ġstem DıĢı E-Posta KarĢıtı Asya Pasifik Koalisyonu Cyber Clean Center CCC Siber Temizlik Merkezi Country Code Top-Level Domain ccTLD Ülke Kodu Üst Düzey Alan Adı Compact Disk CD Kompakt Disk CERT Computer Emergency Response Team BOME Bilgisayar Olaylarına Müdahele Ekibi Common Gateway Interface CGI Genel Ağ Geçidi Arayüzü Certified Information Systems Security Professional CISSP Sertifikalı Bilgi Sistemleri Güvenlik Profesyoneli Computer Security Incident Response Team CSIRT Bilgisayar Güvenlik Olaylarına Müdahele Ekibi Dynamic Data Exchange DDE DDoS Dinamik Veri DeğiĢimi Distributed Denial of Service vi Dağıtık Hizmet Aksatma Dynamic Host Configuration Protocol DHCP Dinamik Bilgisayar Konfigürasyon Protokolü Dynamic Link Library DLL Dinamik Kütüphane Bağlantısı Domain Name System DNS Alan Adı Sistemi Denial of Service DoS Hizmeti Aksatma Digital Video Disc DVD Sayısal Video Diski European Network and Information Security Agency ENISA Avrupa Ağ ve Bilgi Güvenliği Ajansı Federal Bureau of Investigation FBI Federal AraĢtırma Bürosu Forum for Incident Response and Security Teams FIRST Olaylara Müdahele ve Güvenlik Ekipleri Forumu File Transfer Protocol FTP Dosya Transfer Protokolü Giga Byte GB Cigabayt Global Distributed Honeynet GDH Evrensel Dağıtık Bal Küpü Ağı Global Information Assurance Certification GIAC GPL Evrensel Bilgi Sigorta Sertifikası General Public License vii Ücretsiz Yazılım Lisansı General Packet Radio Service GPRS Genel Paket Radyo Hizmeti Hyper Text Transfer Protocol HTTP Büyük Metin Transfer Protokolü Internet Corporation for Assigned Names and Numbers ICANN Ġnternet Adları ve Numaraları Atama Kurumu The Internet Control Message Protocol ICMP Ġnternet Kontrol Mesaj Protokolü Internet Chat Query ICQ Ġnternet Sohbet Sorgusu Intrusion Detection System IDS Saldırı Tespit Sistemi Internet Engineering Task Force IETF Ġnternet Mühendislik Görev Gücü Internet Protocol IP Ġnternet Protokolü Internet Relay Chat IRC Ġnternet Aktarmalı Sohbet Internet Server Application Programming Interface ISAPI ĠSS Ġnternet Sunucu Uygulama Programlama Arayüzü Ġnternet Servis Sağlayıcı Information Technology Infrastructure Library ITIL Bilgi Teknolojileri Altyapı Kütüphanesi International Telecommunication Union ITU Uluslararası Telekomünikasyon Birliği viii ITU-Telecommunication Development Sector ITU-D ĠMK ITU-Telekomünikasyon Kalkınma Sektörü Ġnternet Mimarisi Kurulu Java Server Page JSP Java Sunucu Sayfası KB Köle Bilgisayar KBA Köle Bilgisayar Ağı Messaging Anti-Abuse Working Group MAAWG Kötücül Mesaj Trafik KarĢıtı ÇalıĢma Grubu Malware Malicious Software KY Kötücül Yazılımlar Metropol Area Network MAN Metropol Alan Ağı Microsoft Malware Protection Center MMPC Microsoft Kötücül Yazılım Koruma Merkezi Microsoft Social Network MSN Microsoft Sosyal Ağı Microsoft Structured Query Language MSSQL Microsofot Yapısal Sorgulama Dili Mail Exchange / Asynchronous Full Transfer Zone MX / AXFR Mesaj DeğiĢimi/Asenkron Tam Alan Transferi Network Address Translator NAT Ağ Adres DönüĢtürücü Network Basic Input/Output System NetBIOS NoAH Ağ Temel GiriĢ/ÇıkıĢ Sistemi European Network of Affine Honeypots ix Avrupa Alarm Bal Küpleri Ağı Organisation for Economic Co-operation and Development OECD Ekonomik ĠĢbirliği ve Kalkınma Örgütü Peer to peer P2P Uçlar Arası Portable Document Format PDF TaĢınabilir Doküman Formatı Hypertext Preprocessor PHP Büyük Metin Ön ĠĢleyici Russian Business Network RBN Rusya ĠĢ Ağı Request For Comment RFC Yorum Talebi RĠA Rusya ĠĢ Ağı Remote Procedure Call RPC Uzak Prosedür Çağırma SysAdmin, Audit, Network, Security SANS Sistem Yönetimi, Denetim, Ağ, Güvenlik Short Message Service SMS Kısa Mesaj Hizmeti Simple Network Management Protocol SNMP Basit Ağ Yönetim Protokolü Service Pack 2 SP2 Hizmet Yaması 2 Sender Policy Framework SPF Gönderici Politika Çerçevesi x Transmission Control Protocol / Internet Protocol TCP/IP Ġletim Kontrol Protokolü/Ġnternet Protokolü User Datagram Protocol UDP Kullanıcı Verisi Protokolü Universal Resource Locator URL Evrensel Kaynak Konum Belirleyici Wireless Access Point WAP y.a.g.e Kablosuz EriĢim Noktası Yukarıda Adı Geçen Eser xi ġEKĠLLER LĠSTESĠ Sf. ġekil 1.1 : Avrupa'da Ġnternet kullanımında ilk 10 ülke ................................................ 2 ġekil 2.1 : Kötücül yazılım bulaĢma yolları.................................................................. 5 ġekil 2.2 : Katmanlı güvenlik mimarisi ........................................................................ 6 ġekil 2.3 : Ġnternet sayfalarındaki açıklık sayıları ........................................................ 7 ġekil 2.4 : Yemleme tuzaklarına göre yemlenen sektörler ........................................ 12 ġekil 2.5 : Yeni kötücül kod tehditleri ........................................................................ 14 ġekil 3.1 : Bir bot programının fonksiyonel yapısı ..................................................... 20 ġekil 3.2 : Günlük bot programı bulaĢmıĢ aktif bilgisayar sayısı ............................... 21 ġekil 5.1 : Bir KBA’nın yapısı .................................................................................... 26 ġekil 5.2 : Merkezi KBA mimarisi .............................................................................. 32 ġekil 5.3 : Merkezi olmayan KBA mimarisi ............................................................... 33 ġekil 5.4 : P2P KBA’ların çalıĢma mekanizması ....................................................... 34 ġekil 5.5 : Bir Mayday KB’si tarafından gönderilen ICMP paketleri........................... 38 ġekil 5.6 : Türlerine göre K&K sunucular .................................................................. 42 ġekil 5.7 : KBA IRC sunucuları haritası .................................................................... 43 ġekil 5.8 : KBA’larda kullanılan portlar ve sunucu sayıları ........................................ 44 ġekil 5.9 : Bir bot programının ve kontrol panelinin satıĢı için yapılan reklam .......... 45 ġekil 5.10 : On altı yaĢında bir gencin Mpack paketini satıĢı .................................... 47 ġekil 5.11 : IcePack’in orijinal Rusça sürümü ........................................................... 48 ġekil 5.12 : IcePack’in yerelleĢtirilmiĢ Çince sürümü ................................................ 48 ġekil 5.13 : K&K Ġnternet yükleyicisi ......................................................................... 49 ġekil 5.14 : KBA’larla nasıl para kazanılmaktadır? ................................................... 50 ġekil 6.1 : Bilgi güvenliği eğitim sistemi .................................................................... 87 ġekil 6.2 : Geleneksel çok katmanlı güvenlik savunma sistemi .............................. 111 ġekil 6.3 : GeliĢmiĢ çok katmanlı güvenlik savunma sistemi .................................. 112 ġekil 7.1 : Siber temizlik merkezinin yapısı ............................................................. 118 ġekil 7.2 : Siber temizlik merkezinin farkındalık iĢlem döngüsü .............................. 122 xii TABLOLAR LĠSTESĠ Sf. Tablo 1.1 : Dünyada Ġnternet kullanımı ve nüfus istatistikleri ...................................... 1 Tablo 2.1 : Yer altı ekonomisinde satıĢı yapılan mal ve hizmetlerin bedelleri ........... 13 Tablo 2.2 : Ülkelere göre kötücül faaliyetler .............................................................. 15 Tablo 3.1 : Bazı popüler bot programların fonksiyonlarına iliĢkin istatistikler ............ 17 Tablo 5.1 : Kronolojik olarak KBA geliĢimi ................................................................ 30 Tablo 6.1 : Bot programı yazanlar tarafından kullanılan bazı eski açıklıklar ............. 79 Tablo 6.2 : Bilgi güvenliği eğitim kursları................................................................... 87 Tablo 6.3 : ABD’de siber ortamdaki bazı yasadıĢı davranıĢlar ve ilgili yasal önlemler ................................................................................................................................. 91 Tablo 6.4 : Tipik bir NetFlow kaydında bulunan veri türleri ..................................... 108 Tablo 7.1 : Japonya’da bot programı karĢıtı önlemler projesine katılan kuruluĢlar . 120 xiii 1. GĠRĠġ Ġnternet, farklı açılardan sunduğu imkânlardan dolayı haberleĢmede ve ticarette kullanımı her geçen gün artan bir olgudur. Tüketicilerin dıĢarıya adım atmalarına gerek kalmadan ürün ve hizmet satın alabilmesi, e-devlet ve e-bankacılık gibi çeĢitli kurumlar tarafından verilen hizmetlere ulaĢabilmesi Ġnternet sayesinde mümkün olmaktadır. Ayrıca Ġnternet dünyanın farklı yerlerinde bulunan insanların araĢtırma yapmada ve ürün geliĢtirmede iĢbirliği yapabilmelerine ve iletiĢim kurabilmelerine imkân vermektedir1. Günümüzde Ġnternet ortamında, çevrimiçi bilet satıĢları, baĢvuru iĢlemleri, e-devlet hizmetleri, bankacılık hizmetleri gibi birçok hizmet sunulmaktadır. Ġnternet ortamında sunulan hizmetlerin artmasına paralel olarak Ġnternet kullanıcı sayısının da her geçen gün arttığı gözlemlenmektedir. 2000 ve 2009 yıllarına ait dünyadaki Ġnternet kullanıcısı sayıları Tablo 1.1’de verilmektedir. Tablodaki verilere göre dünya nüfusunun %25’i (1,7 milyar kullanıcı) Ġnternet kullanmaktadır ve bu sayı 2000 yılındaki verilere göre %380,3 oranında bir büyümeye karĢılık gelmektedir. Tablo 1.1 : Dünyada Ġnternet kullanımı ve nüfus istatistikleri2 Bölge Toplam Ġçindeki (2000-2009) Payı (%) (%) 6.8 % 1,392.4 % 3.9 Asya 19.4 % 545.9 % 42.6 Avrupa 52.0 % 297.8 % 24.1 Ortadoğu 28.3 % 1,648.2 % 3.3 Kuzey Amerika 74.2 % 134.0 % 14.6 30.5 % 890.8 % 10.3 Amerika/Karayipler Seth (% Nüfus) Büyüme Afrika Latin 1 Yaygınlık Thigpen, “Investigating Botnets, Zombies, and IRC Security“, (EriĢim) http://www.infosecwriters.com/text_resources/pdf/InvestigatingBotnetsZombiesandIRCSecurity.pdf, 10 Temmuz 2009, s. 2 2 (EriĢim) http://www.internetworldstats.com/stats.htm, 15 ġubat 2010 1 Okyanusya / Avustralya 60.4 % 175.2 % 1.2 Dünya Toplamı 25.6 % 380.3 % 100.0 Avrupa bölgesindeki Ġnternet kullanıcı sayılarının yer aldığı ġekil 1.1’deki verilere göre ülkemizde 26.5 milyon Ġnternet kullanıcısı bulunmaktadır. ġekil 1.1 : Avrupa'da Ġnternet kullanımında ilk 10 ülke3 Yüksek hızda Ġnternet bağlantılarının ve Ġnternet ortamında sunulan hizmetlerin yaygınlaĢması ve nicelik ve nitelik bakımından artması, Ġnterneti yenilikte ve üretkenlikte güçlü bir araç haline getirmektedir. Ġnternete ve diğer haberleĢme ağlarına bağımlılığın bu kadar artması bu ortamı kötü niyetli kiĢiler için de cazibe 3 (EriĢim) http://www.internetworldstats.com/stats4.htm, 15 ġubat 2010 2 merkezi haline getirmekte ve bu kötü niyetli kiĢiler kullanıcılara veya sistemlere çeĢitli zararlar verebilmektedir4. Bu çalıĢmada öncelikle kötücül yazılımlardan bahsedilmekte, kötücül yazılımlardan biri olan robot programların (bot) bulaĢtıkları bilgisayarlar olan köle bilgisayarlar (KB zombi) ve KB’lerden oluĢan Köle Bilgisayar Ağları (KBA - botnet) detaylı olarak incelenmektedir. Daha sonra, KB ve KBA konularında ileri düzey çalıĢmalar yapan uluslararası kuruluĢlardan Uluslararası Telekomünikasyon Birliği (International Telecommunication Union – ITU) ve Asya Pasifik Ekonomik ĠĢbirliği’nin (Asia-Pacific Economic Cooperation – APEC) faaliyetleri ele alınacaktır. Son olarak KB ve KBA konusunda etkin bir sistem kurarak mücadele eden Japonya örneği üzerinde durulacaktır. 4 OECD, “Computer Virsuses and Other Malicious Software, A Threat To The Internet Economy”, 2009, s. 11 3 2. KÖTÜCÜL YAZILIMLAR Ağ tabanlı saldırılar Ġnternet üzerinden gerçekleĢtirilen kötücül faaliyetlerin ilk sırasında gelmektedir. Ġnternetin büyümeye devam etmesi ve onu kapsamlı faaliyetler için kullanan kiĢilerin sayısının artması saldırganlara kötücül faaliyetlerini gerçekleĢtirmeleri için artan sayıda hedefler sunmaktadır. Ġnternet tabanlı saldırıların büyük bir çoğunluğu, saldırganlar tarafından kötücül içerik yaymak amacıyla ele geçirilen ve herhangi bir kötücül yazılım içermeyen Ġnternet sayfalarını ziyaret eden kullanıcılara düzenlenmektedir5. Bu tip saldırılarda saldırgan, kullanıcılar tarafından güvenilir olarak bilinen bir Ġnternet sayfasının barındırıldığı sunucuyu ele geçirmekte ve yaymak istediği kötücül yazılımı bu sunucuya yüklemektedir. Ġnternet kullanıcılarının güvenilir olarak bilinen bu sayfayı ziyaret etmeleri esnasında ise bu kötücül yazılım bilgisayarlarına bulaĢmaktadır. Kötücül yazılımların güçlü ve tehlikeli olmaları, bir bilgisayara gizlice girebilmeleri, o bilgisayarda değiĢiklikler yaparak zarar verebilmeleri, elektronik bilgi sistemlerine kullanıcıların farkına dahi varmadan sızabilmelerinden kaynaklanmaktadır. Kötücül yazılım saldırılarının, hem sıklığı hem de geliĢmiĢliği artmakta, bu durum Ġnternet ekonomisi ve ulusların güvenliği açısından ciddi tehlike arz etmektedir. Kötücül yazılımlarla mücadele eden mevcut çabalar, büyüyen bu küresel tehlikenin tanımlanması iĢleminden çok geridedir. Kötücül yazılımlarla mücadele etme ve onları azaltma çabaları birbirinden ayrık çalıĢmalar Ģeklinde sürdürülmektedir6. Bu bölümde giderek büyük bir sorun olmaya baĢlayan kötücül yazılımlar üzerinde durulacaktır. 2.1 Kötücül Yazılımlar Nasıl ÇalıĢır? Kötücül yazılım, bir bilgi sistemine bulaĢan ve o sisteme veya baĢka sistemlere zarar verebilecek yazılım parçasına verilen genel bir isimdir. Kötücül bir yazılım kullanıcısının izni ve bilgisi olmadan bir bilgi sistemine uzaktan eriĢim hakkı, o 5 Symantec, “Küresel Ġnternet Güvenlik Tehditleri Raporu 2008 Eğilimleri”, Nisan 2009, s. 5 6 OECD, a.g.e., s. 11 4 sisteme bilgi kaydetme yada bilgiyi değiĢtirme, sistemden dıĢarıya bilgi gönderme gibi olanaklar sağlamaktadır. Bütün bunları yaparken bilgi sisteminin ele geçirildiğini gizleyebilmekte, sistemin güvenlik önlemlerini devre dıĢı bırakabilmekte, bilgi sistemine zarar vermekte veya bilgiyi ve sistemin bütünlüğünü etkileyebilmektedir7. Bir kötücül yazılımın bir sisteme bulaĢmasının çeĢitli yolları olabilmektedir. BulaĢma yöntemlerinin çoğu hedef bilgisayarda bulunan çeĢitli açıklıklardan faydalanmaktadır. Çoğu kullanıcının eski iĢletim sistemlerini veya yazılım uygulamalarını ya da bunların yamasız sürümlerini kullanması bu açıklıklardan faydalanma oranını arttırmaktadır. Bir diğer neden ise kullanıcı farkındalığının olmamasıdır. Bilgi sistemlerinde, bilgisiz kullanıcı en zayıf halkayı teĢkil etmektedir 8. Kötücül yazılımlar, %65 oranla web tarayıcılarının, %13 oranla e-posta eklerinin, %11 oranla iĢletim sistemlerinin, %9 oranla indirilen dosyaların ve %2 oranla diğer yöntemlerin kullanılması ile bulaĢmaktadır (ġekil 2.1). ġekil 2.1 : Kötücül yazılım bulaĢma yolları9 7 OECD, a.g.e., s. 24 8 ENISA, “KBA’lar – Gizli Tehdit”, Kasım 2007, s. 3 9 ENISA, a.g.e., s. 3 5 Kötücül yazılımların yayılmasına neden olan diğer bir etken olarak ise sistemlerde katmanlı güvenlik mimarisinin kullanılmaması gösterilmektedir10 (ġekil 2.2). ġekil 2.2 : Katmanlı güvenlik mimarisi Katmanlı güvenlik mimarisinde ilk katmanda son kullanıcının bilgisayarında kötücül yazılımlara karĢı koruma sağlayan bir programın olması gerekmektedir. Bu programın olması ve güncel tutulması halinde kullanıcının sistemine herhangi bir kötücül programın bulaĢması büyük oranda engellenmiĢ olmaktadır. Sisteme virüs bulaĢmasını engellemek veya bulaĢmıĢ virüsleri sistemden silmek için ikinci katmanda bir antivirüs uygulamasının çalıĢması güvenliği arttırmaktadır. ĠĢletim sisteminin güncel tutulmasıyla da, olabilecek güvenlik açıklıkları kapatılmıĢ olmakta, böylece o açıklıkları kullanmaya programlanmıĢ kötücül yazılımların amaçlarına ulaĢması engellenmiĢ olmaktadır. Güvenlik duvarı sistemin portlarını ve sistemdeki bilgi trafiğini kontrol ederek kötücül trafiğin sisteme bulaĢmasını önleyebilmektedir. Bir internet sayfasını ele geçirmek için saldırganlar tarafından kullanılan yaygın tekniklerden bazıları, sunucuda çalıĢan bir uygulamanın zayıflıklarının kullanılması veya esas sunucunun iĢletim sisteminde bulunan bazı açıklıkların kullanılmasıdır. Sadece 2008 yılında 12,885 adet siteye özel açıklık tespit edilmiĢ (ġekil 2.3) ve 10 ENISA, a.g.e., s. 3 6 Symantec tarafından belgelenen açıklıkların %63’ü Ġnternet uygulamalarını etkilemiĢtir. Saldırganlar bir internet sayfasındaki veya bir uygulamadaki bu açıklıkları o internet adresini ziyaret eden kullanıcılara sunulan sayfaları değiĢtirmek için kullanabilmektedir. Bu, doğrudan sayfadan kötücül içerik sunmayı veya kötücül bir yazılımı sayfaların içine gömerek kullanıcıların tarayıcılarını saldırganın kontrolü altındaki baĢka bir internet sayfasına yönlendirmek Ģeklinde de olabilmektedir. Bu yolla bir Ġnternet sayfası ele geçirilerek o sayfayı ziyaret eden her ziyaretçiye kötücül yazılım bulaĢtırılabilmektedir11. ġekil 2.3 : Ġnternet sayfalarındaki açıklık sayıları12 Ele geçirilen sayfanın çok fazla ziyaretçisi olan, popüler ve güvenilen bir internet sayfası olması durumunda bir tek saldırıyla binlerce bilgisayarın ele geçirilmesi mümkün olabilmektedir. Örneğin Ġnternet üzerinden hizmet sunan kurumların Ġnternet sayfalarını barındıran sunuculara kötücül bir yazılım yerleĢtirilerek, saldırganın kontrol ettiği bir sunucudan ziyaretçilerin tarayıcılarına kötücül bir yazılım yüklenmesi sağlanabilmektedir. Ġtibarlı organizasyonların yüksek oranda ziyaretçi trafiğine sahip 11 Symantec, a.g.e., s. 5-6 12 Symantec, a.g.e., s. 6 7 olan sayfalarını hedef alan bu tür saldırılar, kötücül yazılım yaymanın en güvenli yolu olarak ifade edilmektedir13. 2.2 Kötücül Yazılımların Sınıflandırılması Kötücül yazılımlar iĢlevlerine ve davranıĢlarına göre farklı Ģekillerde olabilmektedir. 2.2.1 Virüs Kendi kendisini kopyalayabilen ve eriĢim iznine ihtiyaç duymaksızın sistemlere bulaĢabilen programlardır14. Virüs kavramı genellikle ve yanlıĢlıkla reklam ve casus yazılımları gibi kendisini yenileme becerisi olmayan diğer kötücül yazılımları ifade etmek için de kullanılmaktadır. Gerçek bir virüs bir bilgisayardan baĢka bir bilgisayara ancak bir kullanıcının o virüsü ağ veya internet üzerinden göndermesiyle, ya da disket, cd, dvd veya taĢınabilir hafıza ile taĢınması ile bulaĢabilmektedir. Virüslerin ağ dosya sisteminde bulunan dosyalara veya diğer bilgisayarlar tarafından eriĢilen bir dosya sistemine bulaĢmaları onların yayılma ihtimalini arttırmaktadır. 2.2.2 Solucan (Worm) Ağ üzerinde kendi kendini yayabilen kötücül yazılım parçacığıdır 15 . Bilgisayar solucanları kendi kendilerini kopyalayabilen programlardır. Solucan kopyalarını diğer bilgisayarlara göndermek için ağı kullanır ve bunu hiçbir kullanıcının müdahalesi olmadan yapabilir. Virüs gibi kendisini var olan bir programa eklemeye ihtiyaç duymamaktadır. Solucanlar genellikle bant geniĢliğini kullanarak ağa zarar verirken, virüsler genellikle hedef bilgisayar üzerinde bulunan dosyaları bozmakta veya yok etmektedir16. 2.2.3 Truva atı (Trojan horse) Kendisini olduğundan farklı ve tehlikesiz göstererek gizleyebilen zararlı bir programdır 17 . Truva atı ya da kısaca truva, kullanıcıya arzu edilen bir fonksiyonu 13 Symantec, a.g.e., s. 6 14 ENISA, a.g.e. , s. 2 15 y.a.g.e. 16 (EriĢim) http://en.wikipedia.org/wiki/Worm_(computer_virus), 9 Temmuz 2009 17 ENISA, a.g.e., s. 2 8 yerine getirecek bir yazılım olarak görünen, aslında kullanıcının bilgisayarına izinsiz eriĢimleri kolaylaĢtıran bir kötücül yazılımdır. Kavram Yunan mitolojisindeki truva atı hikâyesinden gelmektedir. Truva atları kendilerini kopyalamazlar. Maksatlarını yerine getirebilmek için bir bilgisayar korsanına ihtiyaç duymaktadırlar. 2.2.4 ĠĢletim sisteminin kontrolünü ele geçiren yazılım (Rootkit) ĠĢletim sisteminin temel bileĢenlerinde değiĢiklik yaparak bir iĢletim sisteminin kontrolünü ele geçirmeye yarayan programlardır18. Rootkitler sistem her açıldığında etkin hale gelmektedir. ĠĢletim sistemi tam olarak açılmadan etkinleĢen rootkitlerin fark edilmesi oldukça zordur. Bir rootkit iĢletim sistemi üzerine gizli bir dosyanın kurulmasını, gizli bir iĢlemin çalıĢmasını, gizli bir kullanıcı hesabının açılmasını ve iĢletim sistemindeki daha bir çok iĢlemin gerçekleĢmesini mümkün kılmaktadır. Rootkitler terminallerden gelen veri trafiğini, ağ bağlantılarını ve klavyeyi 19 engelleyebilmektedir . Rootkit bir sistemin ele geçirildiğini kullanıcısından gizlemek amacıyla tasarlanan bir veya birden fazla programdan oluĢabilmektedir. Adındaki “root” kelimesi programın yönetici haklarına sahip olduğu fikrini uyandırsa da bir rootkitin sistem dosyalarına eriĢmek ve onları çalıĢtırmak için yönetici haklarına sahip olması gerekmemektedir20. 2.2.5 Casus yazılım (Spyware) Kullanıcının bilgisayarla olan etkileĢimine engel olan veya kısmi olarak bu etkileĢimin kontrolünü ele geçiren ve kullanıcının bilgisayarına gizlice yüklenen programdır 21. Bu program, kullanıcıların kendileri, bilgisayarları veya gezinme alıĢkanlıkları hakkında izinsiz bilgi toplamak amacıyla kullanılmaktadır. Casus yazılım programı kullanıcının hareketlerini izlemekten baĢka, Ġnternet kullanımı ve ziyaret edilen Ġnternet sayfaları gibi çeĢitli kiĢisel bilgileri de toplayabilmekte, ilave yazılımlar yüklemek ve Ġnternet faaliyetlerini yönlendirmek suretiyle kullanıcının bilgisayarı kontrol etmesini de 18 ENISA, a.g.e., s. 2 19 (EriĢim) http://www.webopedia.com/TERM/R/rootkit.html, 12 Temmuz 2009 20 (EriĢim) http://en.wikipedia.org/wiki/Rootkit, 12 Temmuz 2009 21 ENISA, a.g.e., s. 2 9 engelleyebilmektedir. Bu tür programların etkileri, bilgisayarların ayarlarını değiĢtirerek bağlantı hızını yavaĢlatmak, farklı Ġnternet sayfalarına yönlendirmek ve diğer programların iĢleyiĢini etkilemek olarak bilinmektedir22. 2.2.6 Arka kapı (Backdoor) Normal doğrulama iĢlemini atlayarak bir bilgisayara gizlice eriĢim hakkı elde etmek için kullanılan bir metottur. Saldırgan bu iĢlemleri yaparken fark edilmemek için çabalamaktadır23. Backdoor, yüklenen bir program formatına girebildiği gibi var olan bir programda veya donanım cihazındaki bir değiĢiklik Ģeklinde de olabilmektedir24. 2.2.7 Yükleyici/indirici (Downloader) Kullanıcının bilgisayarına kötücül yazılım indiren ve indirdiği yazılımı kuran programlardır25. 2.2.8 Reklam yazılımı (Adware) Otomatik olarak reklamları gösteren veya Ġnternetten kullanıcının bilgisayarına reklam indiren bir pakettir26. Reklam fonksiyonları yazılımın içine gömülü olarak bulunan bu programlar, kullanıcının ziyaret ettiği Ġnternet sayfalarına uygun reklamları sunmaktadır. Reklam yazılımı, geliĢtiriciler tarafından genellikle program geliĢtirme maliyetlerini düĢüren bir yol olarak görülmekte ve bazı durumlarda yazılımın son kullanıcıya ücretsiz ya da çok düĢük fiyatlarla sunulabilmesine imkân sağlayabilmektedir. Kullanıcıya gösterilen reklamlardan gelen gelir ürün geliĢtirenleri, geliĢtirmeye devam etmeleri ve yazılımları güncellemeleri hususlarında motive edebilmektedir. Diğer taraftan reklamlar kullanıcılar tarafından iĢlemlerinin kesilmesi veya oyalanmaları Ģeklinde de algılanabilmektedir27. 22 (EriĢim) http://en.wikipedia.org/wiki/Spyware, 12 Temmuz 2009 23 ENISA, a.g.e., s. 2 24 (EriĢim) http://en.wikipedia.org/wiki/Backdoor_(computing), 12 Temmuz 2009 25 ENISA, a.g.e., s. 2 26 y.a.g.e. 27 (EriĢim) http://en.wikipedia.org/wiki/Adware, 12 Temmuz 2009 10 2.2.9 Fidye yazılımı (Ransomware) Kullanıcının bilgisayarında bulunan verileri Ģifreleyen, Ģifreyi çözmek için kullanıcıdan fidye isteyen bir kötücül yazılım türüdür 28 . Fidye yazılımı genellikle klasik bir bilgisayar solucanı gibi ağdaki açıkları kullanarak veya bir e-posta mesajına eklenerek bir sisteme girmektedir. Sisteme bulaĢtıktan sonra: Sistemin temel bir hizmetini devre dıĢı bırakır veya sistem açılırken görüntüyü kilitler veya Kullanıcının bazı kiĢisel dosyalarını Ģifreler. Her iki durumda da bu kötücül yazılım; Kullanıcıdan çevrim içi ödeme yaparak elde edebileceği bir kodu girmesini veya bir SMS göndererek ödeme yapmasını isteyebilir veya Kullanıcıyı bir Ģifre kırma programı veya bu kötücül yazılımı engelleyecek bir yazılım satın alması için zorlayabilir. 2.2.10 Robot program (Bot) Bot, Ġngilizce robot kelimesinin kısaltması olup çeĢitli komutları çalıĢtırabilen otomatik bir yazılım programı olarak tanımlanmaktadır29. Bot programları detaylı olarak üçüncü bölümde ele alınmaktadır. 2.3 Saldırganların Amaçları Saldırganların kötücül yazılım yaymalarının değiĢik sebepleri bulunmaktadır. Bu sebeplerin en önemlisi maddi kazanç elde etmektir. 2008 yılında, kullanıcıların gizli bilgilerini hedef alan saldırıların %78’inin kullanıcı bilgilerini elde edip sattığı, %76’sının ise kullanıcıların çevrimiçi banka hesap bilgilerini çalmak için klavye izleme programlarını kullandığı tespit edilmiĢtir. Örneğin kötücül faaliyetlerden biri olan yemleme tuzaklarının %76’sı finansal hizmet sektöründeki markaları hedef almıĢ 28 ENISA, a.g.e., s. 2 29 http://www.michigan.gov/documents/cybersecurity/CSNewsletter_September2007_207450_7.pdf 11 (ġekil 2.4) ve veri ihlallerinden dolayı bu sektör kimlik bilgilerinin en fazla ihlal edildiği sektör olmuĢtur. ABD’de 2008 yılında yapılan her veri ihlalinin yol açtığı ortalama maliyetin 6.7 milyon dolar, iĢ kaybının ise ortalama 4.6 milyon dolar olarak gerçekleĢtiği ifade edilmektedir30. ġekil 2.4 : Yemleme tuzaklarına göre yemlenen sektörler31 Saldırganlar kullanıcılara ait finansal bilgileri veya isim, adres ve kimlik numarası gibi kiĢisel bilgileri ele geçirdikten sonra bu alanda oluĢmuĢ yer altı ekonomisinde satmaktadırlar. Yer altı ekonomisinde 2008 yılında en çok kredi kartı bilgilerinin satıldığı ve bu satıĢın toplam satıĢların %32’sini oluĢturduğu ifade edilmektedir (Tablo 2.1). Toplu satıĢlarda her bir kredi kartının fiyatı 6 sente kadar düĢebilmektedir. Yer altı ekonomisindeki bazı gruplar manyetik Ģeritli boĢ plastik kartlar imal etmekte ve çalınan gerçek bir kredi kartı ve banka kartına ait bilgileri bu sahte plastik karta kodlayabilmektedir. Bu kartların imal edilmesi ve dağıtımının yapılabilmesi, iyi organize edilmiĢ bir yapıyı gerektirmektedir. Zira sahte kartlar bir ülkede üretilmekte, 30 Symantec, a.g.e., s. 8 31 Symantec, a.g.e. , s. 9 12 basılmakta ve bilgileri çalınan gerçek kartların bulunduğu ülkelere sevk edilmektedir32. Tablo 2.1 : Yer altı ekonomisinde satıĢı yapılan mal ve hizmetlerin bedelleri33 2008 2007 Öğe Sırası Sırası 1 1 2 2 3 9 4 Kredi Kartı Bilgisi 2008 2007 Fiyat Aralığı Yüzdesi Yüzdesi %32 %21 $0.06-$30 %19 %17 $10-$1000 E-Posta Hesapları %5 %4 $0.10-$100 3 E-Posta Adresleri %5 %6 $0.33/MB-$100/MB 5 12 Vekil Sunucular %4 %3 $0.16-$20 6 4 Tam Kimlikler %4 %6 $0.70-$60 7 6 Posta Makineleri %3 %5 $2-$40 Banka Hesabı Bilgileri %8-%50 veya $2008 5 Nakit Para Hizmetleri %3 %5 $2000 öğe baĢına tek fiyat 9 17 Shell Scriptleri (Kabuk Betiği) %3 %2 $2-$20 $3-$40/hafta baĢına 10 8 Dolandırıcılar %3 %5 barındırma, $2-$20/tasarım Bu ekonomide profesyonellik sürekli olarak artıĢ göstermekte ve bazı durumlarda kiĢiselleĢtirilmiĢ kötücül yazılımların imalat ve dağıtımı için rekabet eden grupların olması kötücül yazılımların artmasına yol açmaktadır. 2008 yılında 1.656.227 adet kötücül yazılım tehdidi tespit edilmiĢtir (ġekil 2.5). Bu oran Symantec tarafından bugüne kadar tespit edilen toplam tehdit sayısı olan yaklaĢık 2.6 milyon rakamının %60’ına karĢılık gelmektedir34. 32 Symantec, a.g.e., s. 9 33 Symantec, a.g.e. , s. 10 34 y.a.g.e. 13 ġekil 2.5 : Yeni kötücül kod tehditleri35 Bu tip profesyonel yer altı organizasyonların en önemli örneği olarak Rusya ĠĢ Ağı (RĠA, Russian Business Network - RBN) anılmaktadır. RĠA kötücül yazılımların dağıtımında, kötücül internet sayfalarını barındırmada ve diğer kötücül faaliyetlerde uzmanlaĢmıĢtır. RĠA’nın, 2008 yılında meydana gelen yemleme olaylarının yaklaĢık yarısının kaynağı olduğuna inanılmaktadır. Aynı zamanda 2007 yılında Ġnternette meydana gelen kötücül faaliyetlerin de kayda değer bir miktarı ile iliĢkili olduğu düĢünülmektedir36. Maddi kazanç elde etmeye ek olarak kiĢisel tatmin, kendini gösterme, istihbarat, intikam alma gibi sebepler de kötücül yazılımların yayılmasında etkili olmaktadır. 2.4 Kötücül Faaliyetlerin Ülkelere Göre Dağılımı Tablo 2.2’de sunulan verilerin, kötücül faaliyetlerin meydana geldiği veya kötücül faaliyetin kaynaklandığı yerler hakkında bilgiler verdiği ve bu bilgilerin bu konuda 35 Symantec, a.g.e., s. 10 36 Symantec, a.g.e., s. 11 14 önlem almak isteyen ülkelere yardımcı olduğu ifade edilmektedir. Sıralamanın, her ülkeden kaynaklanan kötücül faaliyetlerin oranlarının ortalaması alınarak hesaplandığı ifade edilmektedir. Kötücül faaliyetler genellikle, çok daha yüksek bant geniĢliği kapasitesi, daha hızlı, daha istikrarlı bağlantılar sağlayan ve saldırganları cezbeden yüksek hızlı geniĢ bant Ġnternet eriĢimine sahip olan bilgisayarları hedef almaktadır. Tablo 2.2’deki ilk üç ülkede yaygın bir Ģekilde geniĢ bant alt yapısı bulunmaktadır 37 . Kötücül faaliyetler sıralamasında Türkiye 2007 yılında %2’lik bir orana sahip iken bu oranın 2008 yılında %3 olduğu görülmektedir. Tablo 2.2 : Ülkelere göre kötücül faaliyetler38 Ülke 2008 Toplam Oran (%) 2007 Toplam Oran (%) Kötücül Kod Sıralamas ı Ġstem DıĢı E-Posta Gönderen KB Sıralaması Yemleme Sayfası Barındırma Sıralaması Bot progra m Sırala ması Saldırının Kaynağı Sıralamas ı 1 ABD 23 26 1 3 1 2 1 2 2 Çin 9 11 2 4 6 1 2 3 3 Almanya 6 7 12 2 2 4 4 4 4 Ġngiltere 5 4 4 10 5 9 3 5 8 Brezilya 4 3 16 1 16 5 9 6 6 Ġspanya 4 3 10 8 13 3 6 7 7 Ġtalya 3 3 11 6 14 6 8 8 5 Fransa 3 4 8 14 9 10 5 9 15 Türkiye 3 2 15 5 24 8 12 10 12 Polonya 3 2 23 9 8 7 17 2008 Sıras ı 2007 Sıras ı 1 37 Symantec, a.g.e., s. 17 38 Symantec, a.g.e., s. 18 15 3. BOT PROGRAMLARI Bot programı, kullanıcının makinesine gizlice yüklenen ve saldırganın hedef sistemi Ġnternet bağlantılı sohbet (Internet Relay Chat - IRC), P2P (peer to peer – uçlar arası) veya bağlantılı metin aktarım protokolu (HTTP - Hyper Text Transfer Protocol) gibi bir haberleĢme kanalı vasıtasıyla uzaktan kontrol etmesine olanak sağlayan programlar olarak tanımlanmaktadır. Bu haberleĢme kanalları uzaktaki saldırganın hem çok sayıdaki bilgisayarı kontrol etmesine hem de koordineli saldırılar gerçekleĢtirmesine imkân sağlamaktadır39. KBA oluĢturmak için özellikle tasarlanmıĢ kötücül programlar da bot olarak tanımlanmaktadır40. 3.1. Bot programlarının kullanım amaçları Bot kelimesi değiĢik türdeki otomatik yazılımları ifade etmek için kullanılmaktadır. BaĢlangıçta IRC kullanan insanlar arasında sıradan yönetici iĢlemlerini gerçekleĢtirmek için kullanılan bot programları sonraları oyunlarda bir karakteri otomatik oynatmak gibi amaçlarla kullanılmıĢtır. Bot programının birçok kullanım örneği bulunmaktadır: Ġnternet örümcekleri/böcekleri; arama motorları tarafından ilgili web sunucu dizinlerinin ve dosyalarının bilgilerini toplamak, Bilgisayar oyunlarının çoklu oynanabilmesi, Müzayede yapmak, Anlık mesajlaĢma hizmetinde ve IRC’de görevlerin otomatikleĢtirilmesi, Ġstem dıĢı e-posta bot programı web sayfalarını, haber gruplarını ve diğer forumları o Hedef e-postaların adreslerini elde etmek, o Web günlüklerinin, misafir defterlerinin, herkesin üzerinde düzenlemeler yapmasına izin verilen bilgi sayfaları topluluğunun (wiki) yorumlarının arasına linkler yerleĢtirmek 39 Symantec, a.g.e., s. 24 40 (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009 16 amacıyla dikkatlice incelemek41 amaçlarıyla kullanılabilmektedir. Bir bot programının yetkisiz olarak bir bilgisayara yüklenmesi ve dağıtımının yapılması, bot programının kendisinin kullanılmasıyla veya virüs, truva atı gibi diğer kötücül yazılımlar vasıtasıyla da yapılabilmektedir42. Bir bot programı bir bilgisayara yüklenip çalıĢtığında, uzaktaki komuta kontrol sunucusuna bağlanıp gerçekleĢtireceği talimatları almak için uğraĢmaktadır. Bunun için en çok kullanılan protokol IRC’dir. IRC çevrim içi sohbet için kullanılan meĢru bir protokol olmasına rağmen, protokolün göreceli olarak kolay olmasıyla birlikte kullanılacak bot programlarının hazır bulunabilmesi nedeniyle protokol saldırganlar tarafından kullanılmaktadır. Bot programı yüklü bilgisayarın uzaktaki sunucuya bağlanması iĢleminden sonra, saldırgan tarafından kontrol edilebilmekte ve istem dıĢı e-posta göndermek, kontrol edilebilir yeni bilgisayarlar araĢtırmak, casus ve reklam yazılımları dağıtmak veya DoS saldırıları gerçekleĢtirmek gibi kötücül faaliyetleri yapması sağlanabilmektedir43. Tablo 3.1’de bilinen çeĢitli bot programlarının gerçekleĢtirdiği faaliyetler verilmektedir. Tablo 3.1 : Bazı popüler bot programların fonksiyonlarına iliĢkin istatistikler44 Bot programının adı Sürümü Temel Kötücül Faaliyetleri Sunucu bilgilerini ve CD anahtarlarını elde etme, SDbot V0.6b UDP/ICMP taĢma saldırısı düzenleme, DOS komutlarını çalıĢtırma Sunucu bilgilerini elde etme, kurbanın bant geniĢliğini Agobot V4.0 tüketmek, yazılım anahtarlarını elde etmek, e-posta listesini elde etmek, istem dıĢı e-posta göndermek, DDoS saldırısı düzenlemek, bilgisayarı kontrol etmek. GT-Bot Piyasadan Sunucu bilgilerini elde etmek, UDP/ICMP taĢma çekildi saldırısı düzenlemek. 41 ESET, “Net of the Living Dead: Bots, Botnets and Zombies”, s. 4 42 Tomasz Rychlicki, “Legal issues of criminal acts committed via botnets” 43 (EriĢim) http://atlas.arbor.net/summary/botnets, 12 Temmuz 2009 44 APEC, “Guide on Policy and Technical Approaches against Botnet”, 2008, s. 24-25 17 Rbot Sunucu bilgilerini elde etmek, yazılım anahtarlarını Rbot.A elde etmek, günlük kayıtları ile Ģifreleri tutmak, istem dıĢı e-posta göndermek, DDoS saldırısı düzenlemek. Bobax Kurbanın bant geniĢliğini tüketmek, istem dıĢı e-posta Bobax.A göndermek. Sunucu bilgilerini elde etmek, kurbanın bant geniĢliğini Phatbot Phatbot.A tüketmek, yazılım anahtarlarını elde etmek, e-posta listesini elde etmek, istem dıĢı e-posta göndermek, DDoS saldırısı düzenlemek, bilgisayarı kontrol etmek. Rustock Restock.B Clickbot Clickbot.A Ġstem dıĢı e-posta saldırısı düzenlemek, Vekil sunucu hizmetlerini açmak. Tıklama sahtekârlığı yapmak. Bot programları pahalı olmayan ve dağıtımı kolay olan yazılımlar olarak ifade edilmektedir. Symantec, 2008 yılında yer altı ekonomisinin reklamlarının bot programı baĢına $0.04 kadar az bir rakam olduğunu gözlemlemiĢtir. Bu rakam 2007 yılında bot programı baĢına $1 olarak gerçekleĢmiĢtir. Merkezi yapıda olmayan bir Komuta&Kontol (K&K) modelinde bot programı bulaĢmıĢ bilgisayarlar saldırganlar tarafından tercih edilmektedir, çünkü bunların devre dıĢı bırakılması zordur ve en önemlisi onları kontrol edenler açısından daha kazançlı olabilmektedir. Örneğin Yeni Zelanda’da yakalanan bir KBA sahibi iki yıllık faaliyetlerinden $21.500 kazandığını itiraf etmiĢtir45. 3.2. Bot programının fonksiyonları ġekil 3.1’de fonksiyonel yapısı verilen bir bot programının modülleri temel fonksiyonlar ve yardımcı fonksiyonlar olmak üzere iki bölüme ayrılmaktadır. Temel fonksiyonlardan olan K&K modülü KBA’nın karakteristiğini oluĢtururken yayılma modülleri ağdaki iletimleri gerçekleĢtirmektedir. Yardımcı fonksiyonlara sahip olan KBA’ların çok daha güçlü olduğu ve varlığını daha uzun süre devam ettirebildiği ifade edilmektedir46. 45 Symantec, a.g.e., s. 24 46 APEC, a.g.e., s. 13 18 Temel fonksiyonlardan olan K&K modülü bot programının haberleĢmeleri kontrollü olarak sonuçlandıran çekirdeği olarak tanımlanmaktadır. Bot programı, saldırgandan ilk kez kontrol komutları aldığında komutları analiz etmekte ve çalıĢtırmakta, sonrasında sonuçları KBA kontrolörüne göndermektedir. Yayılma modülü bot programını değiĢik yollarla diğer bilgisayarlara yaymakta ve onları KBA’ya katılmaları için sürüklemektedir. Bu Ģekilde KBA’nın boyutunu büyütmeye çalıĢmaktadır. KBA’lar yayılma mekanizmalarına göre ikiye ayrılabilmektedir. Bunlardan birincisi otomatik olarak yayılan KBA’lar, ikincisi ise kontrollü yayılan KBA’lar olarak ifade edilmektedir. Yayılma, yazılımların zafiyetlerini kullanarak uzaktan saldırmayı, NetBIOS’un zayıf Ģifrelerini taramayı, kötücül yazılımların arka kapılarını taramayı, istem dıĢı e-posta göndermeyi, dosya paylaĢma sistemlerini içermektedir. Ġlave olarak, yeni bot programların yayılabilmeleri için anlık mesajlaĢma ve P2P dosya paylaĢım yazılımlarıyla birleĢtirildiği belirtilmektedir. Bilgi hırsızlığı modülleri, sunucu kontrol modülleri, indirme ve güncelleme modülleri, tespitten kaçınma ve analiz karĢıtı modülleri olan yardımcı fonksiyonlar temel fonksiyonların özeti mahiyetindedir47: 1. Bilgi hırsızlığı modülleri, ele geçirilen bilgisayar üzerindeki bilgilere (sistem kaynakları, iĢ listesi, açılma zamanı, ağ bant geniĢliği ve hızı gibi) eriĢmek ve değerli hassas bilgileri (yazılım kayıt anahtarı, e-posta listesi, hesap Ģifreleri gibi ) çalmak için kullanılmaktadır. 2. ÇeĢitli saldırıları tamamlamak için kullanılan sunucu kontrol modülleri bir saldırgan tarafından kontrol edilmektedir. Temel bir bot programının KB sunucu kontrol modülleri, DDoS saldırı modülleri, hizmet kurma modülleri, istem dıĢı e-posta gönderme modülü, tıklama sahtekârlığı gibi modülleri içerdiği belirtilmektedir. 3. Ġndirme ve güncelleme modülü saldırgan tarafından, büyük miktardaki bot programlarını kontrol edebilmek için yeni fonksiyonlara sahip ikincil ve yerel indirme ve güncelleme bot programlarını oluĢturmak için kullanılmaktadır. Böylece farklı saldırılar yapılabilmektedir. 47 APEC, a.g.e., s. 14 19 4. Tespitten kaçınma ve analiz karĢıtı modüller, bot programlarının çok biçimliliği (polymorphism), Ģifrelemeyi desteklemelerini sağlamaktadır. Ġlave olarak bot programları hata ayıklama programının bulunup bulunmadığını kontrol edebilmekte, sanal makine ortamını belirleyebilmekte, anti-virüs sürecini öldürebilmekte ve anti-virüs yazılımının kendisini güncellemesini engelleyebilmektedir. Bu modülün amacı, hedef bilgisayara yüklenen bir bot programını tespit edilmekten korumak, anti-virüs iĢleminin anti-virüs analiz fonksiyonunu engellemek olarak ifade edilmektedir. Böylece KBA’nın hayatta kalma becerisi geliĢtirilmiĢ olmaktadır. ġekil 3.1 : Bir bot programının fonksiyonel yapısı48 Bir bot programından etkilenmiĢ bir bilgisayar doğrudan veya dolaylı olarak kontrol edilebilmektedir. Bot programları doğrudan kontrol edildikleri zaman, siber suçlu etkilenen bilgisayara bir bağlantı kurmakta ve onu bot programı içerisinde yerleĢik bulunan komutlarla yönetmektedir. Dolaylı kontrol durumunda ise bot programı, 48 APEC, a.g.e., s. 13 20 kontrol merkezine veya ağdaki diğer bilgisayarlara bağlanarak bir istek göndermekte ve bu istek sonucunda dönen komutu gerçekleĢtirmektedir49. Kendisine bot programı bulaĢan bir bilgisayar, bir günde en az bir saldırı gerçekleĢtiriyorsa bu bot programı aktif bir bot programı dolayısıyla aktif bot programının bulaĢtığı bilgisayar da aktif KB olarak kabul edilmektedir. Bot programı bulaĢmıĢ bu tarz bir bilgisayar bazı günler aktif bazı günler pasif olabilmektedir. Symantec verilerine göre 2008 yılında, günlük 75.158 adet bot programı bulaĢmıĢ aktif bilgisayar tespit edilmiĢtir (ġekil 3.2). Bu rakam 2007 yılına göre %31 artıĢ göstermiĢtir. Symantec yine bu periyotta 9.437.536 adet bot programı bulaĢmıĢ farklı bilgisayar tespit edilmiĢtir. Bu da 2007 yılına göre %1 artıĢ göstermiĢtir50. ġekil 3.2 : Günlük bot programı bulaĢmıĢ aktif bilgisayar sayısı51 3.3. En yaygın bot programı bulaĢma metotları Ġstemci Uygulamalarının Açıklıkları: Bir yükleyici yazılım kullanarak kötücül bir yazılım indirilip kurulmakta ve bununla güvenlik açıklarından faydalanılmaktadır. Tarayıcılar (Ġnternet Explorer, Firefox vb.), Microsoft Word, 49 (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009 50 Symantec, a.g.e., s. 24 51 Symantec, a.g.e. , s. 25 21 Excel, PowerPoint, Outlook, Acrobat Reader ve Winzip en çok hedeflenen istemci uygulamalarıdır. Ağ hizmetlerinin kullanılması: Ağ hizmetlerini (RPC-Remote Procedure Call, MSSQL vb.) kullanmak maksadıyla IP adresleri taranmaktadır. Ağ paylaĢımları: Yakındaki ağlarda varsayılan Ģifresi olabilen ya da herkese açık paylaĢımları olan güvensiz bilgisayarlar araĢtırılmaktadır. Ġstem dıĢı e-posta: Ekinde kötücül yazılımlar içeren, veya bazen bir tarayıcının kullanılmasını gizleyen bağlantı adreslerinin bulunduğu e-posta mesajları gönderilmektedir. Uçtan uca bağlantı (P2P): Kullanıcılar P2P ağlarından (Kazaa, eDonkey ve benzeri paylaĢım programları aracılığıyla) sahte programlar indirip çalıĢtırmaları Ģeklinde dolandırılmaktadır. Diğer yaygın metotlar: Video izleyebilmek için bir yazılım eklentisinin, kötücül yazılımlar içeren sahte casus yakalama yazılımlarının, ağ hızlandırma programlarının yüklenmesi için kullanıcı yönlendirilmektedir52. 3.4. Bot Programı Komutları53 Bot programlarının gerçekleĢtirebildiği komutlar çok sayıda olmakla birlikte en yaygın olanları güncelle, sel, istem dıĢı e-posta ve vekildir. Komut isimleri bot programına göre değiĢiklik arz edebilmekte fakat iĢlevleri aynı kalmaktadır. Güncelle: Belirlenen bir çalıĢtırılabilir dosyayı veya modülü özel bir sunucudan indirip çalıĢtırmaktadır. Bu temel ve ilk çalıĢtırılacak olan komuttur. KBA’nın sahibi bot programının yeni sürümünü yüklemek istediği zaman kullanılmaktadır. Ayrıca bilgisayara diğer kötücül yazılımları bulaĢtırmak için de kullanılabilmektedir. Bu komut kullanılarak, truva atları KBA’yı meydana getiren tüm bilgisayarlara yüklenebilmekte ve böylece KBA’nın aynı anda her bir bilgisayara o ana kadar girilmiĢ ve hafızasında tutulan Ģifreleri bulabilmesi sağlanmaktadır. Bulunan Ģifreler Ġnternetteki bir sunucuya gönderilmektedir. 52 ENISA, a.g.e., s. 4 53 Bu baĢlığın hazırlanmasında (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009, kaynağından yararlanılmıĢtır 22 Sel: Belirli bir Ġnternet sunucusuna yoğun miktarda hatalı istek akıĢı göndererek haberleĢme kanallarını aĢırı yüklemekte ve o sunucuyu çalıĢamaz hale getirmektedir. Bu tarz akımlar, sunucuların arıza yapmasına, kullanıcıların eriĢememesine neden olmaktadır. KBA’ları kullanan bu tarz saldırılara DDoS saldırısı adı verilmektedir. Ġstem dıĢı e-posta: Bir istem dıĢı e-posta mesaj Ģablonu indirip belirlenen adreslere istem dıĢı e-posta gönderir. Her bir bot programına bir dizi e-posta adresi atanmıĢtır ve bot programı kendisine atanan bu e-posta adreslerine indirilen Ģablon istem dıĢı eposta mesajlarını göndermekle mükelleftir. Vekil: Bu komut bilgisayarı bir vekil sunucu gibi kullanmaktadır. Bu fonksiyon ayrı bir komut olarak çalıĢtırılmak yerine bir bot programının temel iĢlevselliğinde bulunmaktadır. Bu iĢlev, KBA’yı kontrol eden siber suçlunun gerçek adresini gizlemek için KBA’nın bir parçası olan herhangi bir bilgisayarın vekil sunucu olarak kullanılabilmesine imkan vermektedir. Yukarıda açıklananlar kadar popüler olmayan diğer komutlar, sadece bazı bot programlarında bulunmaktadır. Bu komutlar, ekran görüntüsü almakta, basılan klavye tuĢlarını kaydetmekte, kullanıcının günlük kayıtlarını istemektedir. 23 4. KÖLE BĠLGĠSAYAR (Zombi) Zombi kelimesinin çeĢitli etimolojik kökleri bulunmaktadır. Olabilecek kökenlerden biri Batı Hindistan’da hayalet/ruh anlamında kullanılan bir terim olan “jumbie” kelimesidir. BaĢka bir kökeni Kongo dilinde “ölü bir kiĢinin ruhu“ anlamına gelen “nzambi” kelimesidir. Diğer bir kökeni ise, “öldüğüne inanılan ve konuĢma yeteneği ve özgür iradesi olmadan tekrar hayata geri getirilen kiĢi” anlamına gelen “zonbi” kelimesidir 54. Bilgisayar dünyasında ise, sahibinin haberi olmadan kendisine kötücül bir yazılım bulaĢmıĢ, uzaktan eriĢen yetkisiz kullanıcılara kendisini kullanma ve kontrol etme yeteneği veren ve bunlardan dolayı tehlike arz eden bilgisayar “zombi” olarak adlandırılmaktadır 55 . Ele geçirilen bir bilgisayar genellikle bir KBA ağındaki bilgisayarlardan sadece biridir ve kötücül görevlerin yapılmasında kullanılmaktadır. Kullanıcıları bilgisayarlarının ele geçirildiğinin farkında olmamalarından dolayı bu bilgisayarlar mecazi olarak zombilere benzetilmektedir. Bu çalıĢmada bu tür bilgisayarlar “köle” olarak adlandırılmıĢtır. 54 (EriĢim) http://en.wikipedia.org/wiki/Zombie, 12 Temmuz 2009 55 ENISA, a.g.e. 24 5. KÖLE BĠLGĠSAYAR AĞLARI (BOTNETLER) Botnet, Ġngilizce robot kelimesinin ikinci hecesi ile network (ağ) kelimesinin ilk hecesinin birleĢtirilmesinden oluĢturulmuĢ bir kelimedir ve merkezi bir kontrol noktasına bağlanmıĢ KB ya da diğer adıyla KB topluluğunu ifade etmektedir. KBA ya da bot program kümesi, üzerine bot programı yüklenmiĢ birden fazla KB’den oluĢan bir ağ olarak da tanımlanmaktadır. KB’ler genelde bir K&K sunucusu vasıtasıyla uzaktan yönetilmektedir 56 . Diğer bir tanımda KBA, diğer bilgisayarlara uzaktan saldırmak için kullanılan, kötücül yazılım bulaĢmıĢ bilgisayar topluluğu Ģeklinde ifade edilmektedir57. Bu çalıĢmada bu tür bilgisayar ağları “köle bilgisayar ağları” olarak adlandırılmıĢtır. Çok güçlü bir iĢlem gücüne sahip olan KBA’lar, etkili bir siber silah olarak ve yasadıĢı yollarla maddi kazanç elde etmede yaygın olarak kullanılmaktadır. Bir KBA’nın sahibi dünyanın farklı Ģehirlerindeki, ülkelerindeki hatta kıtalarındaki ağlarda bulunan KB’leri kontrol edebilmektedir. ġekil 5.1’de verilen yapıdan da anlaĢılacağı üzere bir KBA, KB’leri kontrol kanalları üzerinden gönderdiği komutlarla kontrol etmektedir. Ġnternet bir KBA’nın anonim olarak kontrol edilebilmesine imkân sağlayan bir yapı sunmaktadır58. 56 ENISA, a.g.e. 57 OECD, a.g.e., s. 28 58 (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009 25 ġekil 5.1 : Bir KBA’nın yapısı59 Ġnternet güvenliğini tehdit eden en önemli tehlike olarak görülen KBA’ların, Ġnternet üzerinde meydana getirdikleri hasarı ölçmenin zor olduğu ancak bu hasarın kayda değer bir oranda olduğu yaygın bir Ģekilde kabul edilmektedir. Geleneksel olarak KBA’lar kendilerini merkezi bir K&K sunucusuna bağlı olarak hiyerarĢik bir yapıda organize etmektedirler. Bu merkez, bot programının içinde statik olarak tanımlanabildiği gibi bir dizin sunucusuna bağlı olarak dinamik bir Ģekilde de tanımlanabilmektedir. KBA’ların merkezi bir yapıda olmasının güvenlik uzmanları açısından sağladığı çeĢitli avantajları bulunmaktadır. Zira böylesi bir yapının KBA için merkezi bir kırılma noktası (central point of failure) anlamına geldiği ifade 59 APEC, a.g.e., 2008, s. 13 26 edilmektedir. Gelecekte saldırganların daha esnek KBA mimarileri oluĢturacağı düĢünülmektedir60. 5.1. KBA’ların GeliĢimi61 Tablo 5.1’de geliĢim kronolojisi veriken KBA’ların tarihi notorious, NetBus ve BackOrifice2000 gibi arka kapı programlarının ortaya çıktığı 1998-1999 yıllarına dayanmaktadır. Bunlar tamamen yeni teknolojileri uygulayan programlar olan truva atları olarak bilinmektedir. Kötücül yazılımlardan etkilenen bir bilgisayarın uzaktan yönetilebilmesine imkân sağlayan bir dizi iĢlevi içeren ilk örnekler olan NetBus ve BackOrifice2000, siber suçluların uzak makine üzerinde dosya iĢlemleri gerçekleĢtirebilmelerine, yeni programları çalıĢtırmalarına, CD sürücüsünü açıp kapatabilmelerine kadar çeĢitli imkânlar vermektedir. Arka kapı programı olan truva atı, kullanıcının bilgisi ve rızası olmadan çalıĢabilecek Ģekilde tasarlanmıĢtır. Ġlk arka kapı programı TCP/IP protokol kümesi tabanlı yerel bir ağda çalıĢmıĢ ve özünde uzak bir makineyi kontrol edebilmek için Windows Uygulama Programlama Arayüzlerini (Application Programming Interface – API) sömürme imkânlarını göstermiĢtir. 2000’li yılların baĢında, uzaktan yönetim için kullanılan istemci programları aynı anda birçok makineyi kontrol edebilmekte idi. Bununla beraber günümüz arka kapı programlarının aksine, NetBus ve BackOrifice2000 birer ağ sunucusu gibi tasarlanmıĢtır. Diğer bir deyiĢle önceden tanımlanmıĢ portların açık bir Ģekilde tutulması ile pasif bir pozisyonda yöneticilerinin kendilerine bağlantı kurmalarını beklemektedirler (KBA oluĢturmak için kullanılan modern arka kapı programları bir bağlantıyı kendi baĢlarına kurabilmektedir). Kötü amaçlı kullanıcılar, arka kapı programı bulaĢan bilgisayarların kendi kendilerine bağlantı kurabilmeleri ve sürekli çevrimiçi olmaları gerektiği fikrini getirmiĢlerdir (makinenin açık olduğu ve çalıĢtığı varsayılmaktadır). IRC sistemlerinde çalıĢan bot 60 Julian B. Grizzard, Vikram Sharma, Chris Nunnery, Brent ByungHoon Kang ve David Dagon, “Peer- to-Peer Botnets: Overview and Case Study” 61 Bu baĢlığın hazırlanmasında (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009, kaynağından yararlanılmıĢtır 27 programlarının açık kaynak kodlu olması bu fikirlerin gerçekleĢtirilmesini ve yeni bot programlarının geliĢtirilmesini kolaylaĢtıran bir neden olmuĢtur. Bir bilgisayara bir bot programı bulaĢırken, önceden tanımlanmıĢ IRC kanalı üzerinden IRC sunucularına ziyaretçi olarak bağlanan yeni bot programları, KBA’nın sahibinden mesaj almayı beklemektedirler. KBA’nın sahibi herhangi bir anda çevrimiçi olduğunda KB’lerin listesini görüntüleyebilmekte, KB’lere bir defada komutlar gönderebilmekte veya bir tek bilgisayara özel mesaj da gönderebilmektedir. Bu model, merkezi bir KBA’yı gerçekleĢtirmek için kullanılan ve daha sonradan K&K adı verilen esas mekanizmayı oluĢturmuĢtur. GeliĢim sürecinde çıkan her yeni IRC KBA’lar hakkındaki bilgi hızlıca yayılmıĢtır. Bunlarla ilgili makalelerin korsan dergilerinde çıkmaya baĢlamasıyla KBA hırsızları adı verilen yeni bir tür kötü amaçlı kullanıcı ortaya çıkmıĢtır.. Bu kiĢilerin muhtemelen en az KBA sahipleri kadar bilgiye sahip oldukları ve kolay para kazanmanın peĢinde koĢtukları düĢünülmektedir. Hırsızlar çok sayıda ziyaretçisi olan IRC kanallarını aramakta, bu kanallara girmekte, KBA’yı incelemekte ve çalarak ele geçirmektedirler. Bu, ağın kontrolünü anlayarak yapılmakta, KBA Ģifre korumalı diğer IRC kanallarına yönlendirilmekte, sonuç olarak baĢkasına ait KBA tam olarak kontrol edilmiĢ olmaktadır. KBA’ların geliĢiminde bir sonraki aĢama kontrol merkezlerinin Ġnternet üzerine taĢınması olmuĢtur. Ġlk olarak, korsanlar Perl ve PHP gibi popüler olan veya nadiren Aktif Sunucu Sayfası (Active Server Page - ASP), Java Sunucu Sayfası (Java Server Page- JSP) gibi betik dillerini kullanarak sunucuları uzaktan kontrol edebilmek için araçlar geliĢtirmiĢlerdir. Daha sonra, yerel ağ üzerinde bulunan bir bilgisayarın Ġnternet üzerindeki bir sunucuya bağlanabileceği bir metot geliĢtirilmiĢtir. Bu metot, bir bilgisayarın dünyanın herhangi bir yerinden kontrol edilebilmesine imkân vermiĢtir. Yerel ağlar üzerindeki bilgisayarları vekil sunucu ve Ağ Adresi DönüĢümü (Network Address Translation - NAT) yapılarını atlayarak uzaktan kontrol sağlayan metotların açıklamaları çevrimiçi ortamlarda yayınlanmıĢtır ve bu popüler olmaya baĢlamıĢtır. Uzaktan yönetim, istemci bilgisayarın yerel ayarlarını kullanarak yönetim sunucusuna bir Bağlantılı Metin Aktarım Protokolu (Hyper Text Transfer Protocol - HTTP) ile bağlantı kurmaya dayanmaktadır. 28 Yerel ağlardaki bilgisayarların koruma mekanizmalarını aĢmak ve bu bilgisayarlara uzaktan eriĢim hakkı elde etmek için kullanılabilen yarı yasal uzaktan yönetim araçlarının geliĢimi Ġnternet tabanlı KBA’ların yolunu açmıĢtır. Daha sonra, küçük bilgisayar ağlarını kontrol etmek için basit betikler geliĢtirilmiĢ ve siber suçlular bu Ģekilde kontrol edilen ağları para kazanmak için kullanma baĢlamıĢlardır. Ġnternet tabanlı KBA’lar, günümüze kadar popüler kalan çok uygun bir çözüm sunmaktadır. Büyük miktardaki bilgisayarlar Kablosuz EriĢim Noktası / Genel Paket Radyo Hizmetini (Wireless Access Point / General Packet Radio Service WAP/GPRS) destekleyen taĢınabilir bir telefon da dâhil olmak üzere Ġnternet eriĢimi olan herhangi bir cihaz kullanılarak yönetilebilmektedir. Bir çocuk bile bir Ġnternet ara yüzünü kullanmayı öğrenebilmektedir. GeliĢmiĢ Ġnternet teknolojileri Ġnternet tabanlı KBA’ların kullanılmasına katkı sağlamıĢtır. Anlık mesajlaĢma sunucuları üzerinden kontrol edilebilen KBA oluĢturma giriĢimleri de olmuĢtur. Ancak anlık mesajlaĢma tabanlı KBA’lar anlık mesajlaĢma hesabı oluĢturmayı gerektirdiğinden dolayı çok yaygınlaĢamamıĢtır. Sistemler, otomatik kayıt oluĢturma iĢlemlerine karĢı korunduğu için çok sayıda hesabı otomatik olarak açmak çok zor olmaktadır. Anlık mesajlaĢma tabanlı KBA’lar KBA geliĢim sürecinin son noktası olmamıĢtır. Mevcut tüm protokoller denendikten sonra, KBA geliĢtiricileri dikkatlerini ağ mimarisine çevirmiĢlerdir. Klasik mimarideki KBA’ların kritik bir düğüm olan K&K merkezine bağımlı olmalarından dolayı (çok sayıda bot programının bir K&K merkezinden kontrol edilmesi) çok korunmasız oldukları anlaĢılmıĢtır. K&K merkezi devre dıĢı bırakıldığı zaman tüm KBA’nın kontrolü kaybedilmektedir. Bazen aynı anda farklı yapıdaki bot programlarından etkilenmiĢ ve farklı K&K merkezlerine bağlanan bilgisayarlardan oluĢan KBA modelleri çalıĢmaktadır, fakat iki veya üç K&K sunucusunun aynı anda yönetilmesi gerektiğinden bu tür KBA’ların devamlılığını sağlamak oldukça zor olmaktadır. Uzmanlar, bir K&K merkezine sahip olmayan Uçlar Arası (Peer-to-peer - P2P) KBA’ların hem son derece etkili olacağına hem de ciddi bir tehdit oluĢturacağına inanmaktadır. KBA sahibinin yapması gereken, KBA’daki bir KB’ye bir komut 29 göndermektir. Bot programları bu komutu KBA’da bulunan diğer bilgisayarlara otomatik olarak yaymaktadırlar. Prensip olarak, bir KBA’daki her bir bilgisayar aynı ağdaki diğer bir bilgisayara bağlantı kurabilmektedir. Bu tip ağların kurulmasıyla ilgili deneyler bir süre yürütülmüĢtür ancak P2P mimarisini kullanan ilk büyük KBA 2007 yılına kadar ortaya çıkmamıĢtır. Tablo 5.1 : Kronolojik olarak KBA geliĢimi62 Bot Program ı Tarih Eggdrop GeliĢtirme Dili Kullandığı Protokol Yayılma Mekanizması 12/1993 C IRC Aktif indirme Pretty Park 05/1999 Delphi IRC E-posta gönderme Subseve n 2.1 1999 Delphi IRC E-posta gönderme GTbot 2000 MIRC Script IRC MIRC sunucusuna bağlanma SDbot 02/2002 C IRC Ücretsiz indirme Slapper 09/2002 C P2p Uzaktan güvenlik açığı tarama Agobot 10/2002 C++ IRC Uzaktan güvenlik açığı tarama IRC Uzaktan güvenlik açığı tarama rxbot 62 2004 C Açıklama Kötücül olmayan IRC tabanlı ilk bot programı IRC’yi K&K sunucusuna bağlanma protokolü olarak kullanan ve solucan karakterli ilk kötücül bot programı Truva karakterli ilk bot programı Çokça yayılan, mIRC çalıĢtırılabilir dosyalarını ve betiklerini kullanan IRC tabanlı ilk bot programı Tek baĢına çalıĢabilen IRC tabanlı ilk bot programı P2P haberleĢme kanallarına sahip ilk solucan Ġnanılmaz derecede sağlam, esnek ve modüler bir tasarım SDbot soyundan, çok fazla dağıtılan IRC tabanlı bot APEC, a.g.e., s. 11-12 30 phatbot Bobax 2004 05/2004 C++ Visual C++ WASTE http Uzaktan güvenlik açığı tarama E-posta gönderme / Uzaktan güvenlik açığı tarama Clickbot. A 05/2006 PHP http Diğer kötücül yazılımlara bağlanma Nuwar 2007 Visual C++ P2p Uzaktan güvenlik açığı tarama Zunker 04/2007 PHP/CGI http P2P dosya paylaĢımı Mayday 01/2008 N/A http/Icmp E-posta gönderme programı WASTE tabanlı ilk uçtan uca bot programı HTTP tabanlı K&K mekanizmasını kullanan bot programı Tıklama sahtekârlığı için kullanılan bot programı eMule protokolüne dayalı dağıtık P2P yapısı HTTP protokolü üzerinden haberleĢme, P2P yayılma mekanizması HTTP/ICMP protokolleri üzerinden haberleĢme, P2P yapısı 5.2. KBA’ların Türleri 63 KBA’ların sınıflandırılması göreceli olarak kolaydır ve sınıflandırma, KBA mimarisini ve kullanılan protokolleri esas almaktadır. 5.2.1 Mimarisine göre KBA sınıflandırması Merkezi ve P2P KBA’lar olmak üzere iki türlü KBA mimarisinden bahsetmek mümkündür. 5.2.1.1 Merkezi KBA’lar Merkezi KBA tipinde, bütün bilgisayarlar bir tek K&K sunucusuna bağlı bulunmaktadır (ġekil 5.2). K&K, bağlantı kurmak için yeni KB’leri bekler, onları veri tabanına 63 Bu baĢlığın hazırlanmasında (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009, kaynağından yararlanılmıĢtır. 31 kaydeder, durumlarını takip eder ve KBA sahibinin bir komut listesinden seçtiği komutları bu KB’lere gönderir. K&K sunucusu bir KBA’daki bütün KB’leri görebilmektedir. KBA sahibinin, merkezi bir KBA’yı yönetmek için K&K sunucusuna eriĢebilmesi gerekmektedir. ġekil 5.2 : Merkezi KBA mimarisi Merkezi KBA’lar en yaygın KB ağıdır. Bu tip KBA’ların oluĢturulması, yönetilmesi daha kolay olmakta ve bu KBA’ların komutlara daha hızlı cevap verdiği belirtilmektedir. Bununla birlikte merkezi KBA’larla mücadele etmenin de daha kolay olduğu ifade edilmektedir. Zira K&K sunucusu çalıĢamaz hale getirildiğinde KBA etkisiz hale getirilmiĢ olmaktadır. 5.2.1.2 Merkezi olmayan veya P2P (uçlar arası) KBA’lar Merkezi olmayan bir KBA’da, KB’ler merkezi bir K&K sunucusuna bağlanmak yerine KBA ağındaki diğer KB’lerden birkaçına bağlı bulunabilmektedir (ġekil 5.3). Komutlar KB’ler arasında transfer edilebilmektedir. Her bir KB’nin bir komĢu listesi bulunmaktadır. Bir KB, komĢularının herhangi birinden aldığı herhangi bir komutu tüm diğer KBA’ya yaymak için diğer komĢularına göndermektedir. Bu durumda, bir siber suçlunun KBA’nın tamamını yönetebilmek için KBA’daki en az bir bilgisayara eriĢebilmesi yeterli olmaktadır. 32 ġekil 5.3 : Merkezi olmayan KBA mimarisi Pratikte, merkezi olmayan bir KBA oluĢturmanın kolay bir iĢ olmadığı ifade edilmektedir. Zira etkilenen her yeni bilgisayarın KBA’ya bağlanacağı KB listesinin sağlanması gerekmektedir. Bir bot programını önce komĢu bot programlarının listesini alabileceği merkezi bir sunucuya yönlendirmek daha sonra P2P bağlantıya geçirmek daha kolay olmaktadır. P2P KBA’ların merkezi bir kontrol noktasının olmamasından dolayı merkezi olmayan KBA’larla mücadelenin daha zor bir iĢ olduğu belirtilmektedir. 33 ġekil 5.4 : P2P KBA’ların çalıĢma mekanizması64 P2P KBA türünün bilinen iki örneği olan Storm ve Mayday KBA’ları hakkında ağağıda çeĢitli bilgiler verilmektedir. a) Storm KBA’sı 2007 yılında güvenlik araĢtırmacılarının dikkatini çeken ve Storm solucanı olarak bilinen kötücül yazılımı kullanan bir P2P KBA ortaya çıkmıĢtır. Storm solucanını yazanların bu ürünlerini kötücül yazılımın yeni sürümlerini oluĢturan bir üretim bandı varmıĢ gibi hızlı yaydıkları ifade edilmektedir. Ocak 2007 yılından itibaren 3 ila 5 adet arasında yeni Storm solucan sürümünün tespit edildiği belirtilmektedir. Bazı uzmanlar strom solucanının yeni nesil KBA inĢa etmek üzere geliĢtirilen bir yazılım olduğuna inanmaktadırlar. Bot programlarının profesyoneller tarafından geliĢtirildiği ve dağıtıldığı, KBA’ların hem mimarisinin hem de korumasının çok iyi tasarlandığı ifade edilmektedir. 64 APEC, a.g.e., s. 23 34 AĢağıda bahsedilen gerçeklerin bu fikri desteklediği belirtilmektedir: Bot programının kodu polimorfik virüsler gibi değiĢmektedir. Ayrıca, Storm solucanının mutasyon iĢlemlerini gerçekleĢtiren kodu yazılımın kendi içinde değil de bu iĢ için ayrılmıĢ Ġnternet üzerindeki bir bilgisayar üzerinde çalıĢmaktadır. Bu mekanizma sunucu taraflı polimorfizm olarak adlandırılmaktadır. Mutasyon yüksek oranda gerçekleĢmektedir (saatlik mutasyon ölçülmüĢtür) ve daha önemlisi, mutasyon sunucu tarafında gerçekleĢmektedir. Bu da birçok kullanıcının antivirüs veri tabanlarını güncellemelerini baĢarısız kılmaktadır. Storm KBA’sı güvenlik analistlerinin ilgisine karĢı korunmuĢtur. Birçok antivirüs firması belirli aralıklarla, solucanın yeni kopyalarını kötücül yazılımı yaymak için kullanılan sunuculardan indirmektedirler. Aynı adresten çok sık istek yapıldığı tespit edildiğinde, bot programları bu adrese DDoS saldırısı gerçekleĢtirmektedir. Bot programı, bulaĢtığı bilgisayarda mümkün olabildiği kadar fark edilmeden kalmaya çabalamaktadır. Sürekli saldırı düzenleyen kötücül yazılımlar sistem yöneticileri ve kullanıcılar tarafından daha kolay tespit edilmektedir. Bundan dolayı kötücül bir yazılım açısından, büyük miktardaki sistem kaynaklarını kullanmayan bir kontrol etkinliği en güvenli yol olarak anılmaktadır. Storm solucanı, merkezi bir sunucu ile haberleĢmek yerine KBA’daki küçük sayıdaki komĢu bilgisayarlara bağlantılar kurmaktadır. Bu, bir P2P ağındaki bütün KB’lerin tespit edilmesini pratik olarak imkânsız kılmaktadır. Aynı prensip direniĢ gruplarının oluĢturulmasında da gözetilebilmekte, böylece grubun her bir üyesi sadece birkaç grup üyesini bildiği için bir bilgisayarın baĢarısızlığı bütün grubun baĢarısızlığına yol açmamaktadır. Solucanı yazanlar solucanı yaymak için kullanılan yöntemleri sürekli olarak değiĢtirmektedirler. Ġlk zamanlar, kötücül yazılım bir istem dıĢı e-posta mesajının eki olarak (özellikle PDF dosyası görünümündeki ekler Ģeklinde) dağıtıldığı ifade edilmektedir. Daha sonraları ekli dosyaların yerini istem dıĢı eposta mesajlarına eklenen ve kötücül yazılımdan etkilenmiĢ dosyalara olan bağlantılar almaktadır. Storm KBA’sı, çeĢitli problemlere yol açmıĢtır. Toplu istem dıĢı e-posta mesajı gönderilmesi dıĢında, bu KBA’nın dünyadaki geniĢ kapsamlı DDoS 35 saldırılarında kullanıldığından Ģüphelenilmektedir. Aynı araĢtırmacılar, Storm KBA’sının 2007 yılında Estonya’ya düzenlenen siber saldırıya da karıĢtırıldığını düĢünmektedir. Böyle bir ağın verebileceği olası zararlar ĠSS’leri ve barındırma sağlayıcılarını endiĢelendirmektedir. Storm KBA’sının boyutu hala bilinmemektedir. Tamamen veya kısmen bir K&K merkezine bağımlı olan KBA’lar bütünüyle bilinebildiği halde (çünkü K&K sunucusu KBA’ya bağlı olan bütün bilgisayarları görür), hiçbir uzmanın Storm KBA’sını oluĢturan bilgisayarların listesine eriĢemediği ifade edilmektedir. Storm KBA’sının boyutu ile ilgili olarak 50.000 ile 10.000.000 arasında bir sayıda KB’den oluĢtuğu Ģeklinde tahminler yapılmaktadır. 2007 yılının sonunda, Storm KBA’sının ortadan kaybolduğu, buna rağmen bir bot programının her gün birçok yeni sürümünün tespit edildiği belirtilmektedir. Bazı uzmanların, Storm KBA’sının parçalara bölünerek satıldığına inandıkları, diğer bazı uzmanların ise bu KBA’nın elde ettiği gelirin KBA’yı geliĢtirme ve destekleme maliyetlerini karĢılamadığı ve dolayısıyla kar etmediğini düĢündükleri ifade edilmektedir. b) Mayday KBA’sı Mayday KBA’sının teknik olarak kendinden öncekilerden farklı olarak; bu KBA’nın oluĢturduğu bot programı ve KBA’ya ait bu ismin, kelimenin farklı bir kötücül yazılım tarafından kullanılan bir alan adının bir parçasıymıĢ izlenimi uyandırdığı belirtilmektedir. Mayday P2P mimarisine dayanan bir KBA’dır. Bir bot programı, iĢlemeye baĢlamasından sonra programın içinde belirtilen Ġnternet sunucusuna bağlanmakta, kendisini sunucunun veri tabanına kaydettirmekte ve KBA’da bulunan bot programlarının bir listesini (Storm solucanında bot program listesinin sadece bir kısmını almakta idi) bu sunucudan alır. Bu listeyi alan bot programı daha sonra, KBA’daki diğer bilgisayarlarla eĢler arası (peer-to-peer) bağlantılar kurmaktadır. Mayday KBA’sının oluĢturulması sırasında bot programlarının bağlantı kurdukları 6 farklı sunucunun tespit edildiği ifade edilmektedir (Ġngilterede, ABD’de, Hollanda’da ve Almanya’da). Mart 2008 baĢlarında, kendisine 3.000 KB’nin (Storm KBA’sında bu 36 rakamlar en iyi tahminlerle on binler seviyesinde idi) kayıtlı bulunduğu, sadece bir sunucunun hala iĢlemekte olduğu belirtilmektedir. Ağın boyutunun tek baĢına bir kriter olmadığı zira Mayday KBA’sının Storm KBA’sından boyut olarak çok küçük olduğu ifade edilmektedir. Mayday KBA’sı Ģifresiz bir ağ haberleĢme protokolü kullanmakta, kötücül yazılım antivirüs yazılımları tarafından yapılan analizleri engellememekte ve en önemlisi yeni bot program türleri Storm solucanı ile aynı sıklıkta yayınlanmamaktadır. Mayday KBA’sının ilk olarak Kasım 2007’nin sonlarına doğru tespit edildiği ve ondan sonra 20’nin üzerinde farklı türünün ortaya çıktığı ifade edilmektedir. Mayday KBA’sı 32 byte boyutunda Ġnternet Denetim Mesaj Protokolü (The Internet Control Message Protocol - ICMP) mesaj tabanlı P2P haberleĢmesini kullanmaktadır. Birçok kullanıcı ICMP’ye aĢinadır, çünkü bu protokol ağdaki bir bilgisayarın eriĢilebilir olup olmadığını kontrol etmeye yarayan PING komutu tarafından kullanılmaktadır. ICMP protokolü bundan baĢka çok sayıda iĢlevi de sunmaktadır. ġekil 5.5’te bir paket izleme programının bir Mayday KB’sinden aldığı ICMP paketlerinin bir görüntüsü yer almaktadır. Daha önceden bilinmeyen KB’lerin veri transfer etmek için ICMP’yi kullandığı görülmektedir. 37 ġekil 5.5 : Bir Mayday KB’si tarafından gönderilen ICMP paketleri ICMP, bir KBA’daki KB’nin eriĢilebilirliğinin kontrol edilmesi ve kimliğinin tespit edilmesi için kullanılmaktadır. Mayday bot programları Hizmet Paketi 2 (Service Pack - SP2) kurulmuĢ Windows XP üzerinde çalıĢabilecek Ģekilde tasarlanmıĢtır ve bir kere çalıĢtıktan sonra ICMP paketlerini alabilmek için Windows güvenlik duvarının kurallarını değiĢtirmektedir. Mayday KBA’sı hakkında farklı olan ikinci ve belki de en önemli hususun ise bu KBA’nın K&K merkezi olduğu ifade edilmektedir. Ġnternet tabanlı KBA’ların K&K merkezleri Ortak Geçit Arayüzü (Common Gateway Interface - CGI) olarak bilinen mekanizmayı çalıĢtırılabilir kullanmaktadır. dosyaların bir Tasarım CGI olarak, uygulaması Ġnternet olarak sunucu teknolojisi kullanılmasına olanak vermektedir. Daha sonraları çeĢitli betik motorları da ortaya çıkmaya baĢlamıĢtır. Bir CGI uygulaması, bir kullanıcı tarafından yapılan Ġnternet sayfası isteğinin içeriğini gerçek zamanlı olarak üretmekte ve Ġnternet sunucusundaki statik veriler yerine 38 ürettiği bu verileri kullanıcıya göstermektedir. Bir CGI betiği basit bir Ģekilde çalıĢmakta, fakat iĢlemlerin sonucunun çıktısının alınabilmesi için bir yorumlayıcıya (betik motoru) ihtiyaç duymaktadır. Kural olarak, Ġnternet tabanlı K&K merkezleri betik motorlarına dayanmaktadır. Mayday’in K&K merkezinde kullanılan programının bir kopyasının alınması için çeĢitli çalıĢmaların yapıldığı ifade edilmektedir. Mayday’in sunucu tarafında çalıĢan yazılımının 1,2 megabyte boyutunda, hiçbir modülü olmayan ve tek baĢına çalıĢabilen bağımsız bir ELF (Linux iĢletim sisteminin Windows iĢletim sistemindeki EXE dosyalarının karĢılığı olan dosya uzantısı) dosyası olduğu görülmüĢtür. Sistemin bir script motorunun olmasını gerektirmemektedir. Ġlk bakıĢta tuhaf bir Ģey görülmemekte ve Mayday’i geliĢtirenlerin CGI betik yerine bir CGI uygulaması geliĢtirdikleri izlenimini vermektedir. Ancak bu durumun birkaç soru iĢareti oluĢturduğu belirtilmektedir. Bir CGI uygulaması geliĢtirmenin bir CGI betiği geliĢtirmekten çok daha zor olduğu, çünkü bu kodun istikrarlı ve güvenilir olmasını sağlamak için özel gayret sarf edilmesi gerektiği ifade edilmektedir. Mevcutta, Ġnternet içeriği geliĢtirenlerin %99’u betik motorlarını kullanmakta, sadece her Ģeyin en küçük detaylara kadar optimize edilmesi gerektiğinde yekpare ve tek baĢına çalıĢabilir CGI uygulamaları geliĢtirilmektedir. Genellikle bu yaklaĢım, büyük Ģirketler tarafından yüksek iĢ yükü altında çalıĢabilecek programlarının eBay, projeler PayPal, geliĢtirildiğinde Yahoo gibi kullanılmaktadır. firmaların Yekpare Ġnternet CGI sistemlerinde kullanıldığına değinilmektedir. Ancak Mayday için yekpare ve tek baĢına çalıĢabilir bir dosya oluĢturulmasına neden ihtiyaç duyulduğu merak konusu olmuĢtur. Olası bir nedenin, baĢkalarının onu değiĢtirmelerini, tekrar yapılandırmalarını ve yeni bir K&K merkezi olarak satabilmelerini zorlaĢtırmak olduğu düĢünülmektedir. Durum ne olursa olsun, Mayday KBA’sının sunucusunun kullandığı yazılımın yapısı ile ilgili analizler bunun iyi organize edilmiĢ bir yazılım geliĢtirme takımı gerektiren ciddi bir geliĢtirme projesi (kodlar düzenlidir ve uygulama için evrensel bir sınıf sistemi geliĢtirilmiĢtir) olduğunu göstermektedir. Ayrıca, Mayday KBA’sı için bir yazılım yapmak için siber suçluların, 39 birisi Windows birisi de Linux için yazılım geliĢtirmek olmak üzere bir yerine iki proje üzerinde çalıĢmak zorunda kaldıkları ifade edilmektedir. 5.2.2 Ağ protokolüne göre KBA sınıflandırması Bir KBA’nın sahibi açısından bot programına bir komut gönderebilmesi, KB ile komutu gönderecek olan bilgisayar arasında bir ağ bağlantısının kurulmuĢ olmasını gerektirmektedir. Tüm ağ bağlantıları, ağdaki bilgisayarlar arasındaki etkileĢim için kuralları belirleyen bir protokole dayanmaktadır. Bu nedenle KBA’lar kullandıkları ağ protokolüne göre de sınıflandırılabilmektedir. KBA’lar ağ protokollerine göre aĢağıdaki Ģekilde sınıflandırılmaktadır: 5.2.2.1 IRC tabanlı KBA’lar Ġlk KBA türlerinden biri olarak anılmaktadır. KB’ler IRC haberleĢme kanalları üzerinden kontrol edilmektedir. Bot programından etkilenmiĢ ve bot programının gövde kısmında belirtilen IRC sunucusuna bağlı her bir bilgisayar, belirli bir kanal üzerinden yöneticisinden komut beklemektedir. 5.2.2.2 IM (instant messaging - anlık mesajlaĢma) tabanlı KBA’lar Bu tip KBA türü çok yaygın değildir. America Online (AOL), Microsoft Sosyal Ağı (Microsoft Social Network - MSN), Ġnternet Sohbet Sorgusu (Internet Chat Query ICQ) gibi anlık mesajlaĢma hizmetlerinin sunduğu haberleĢme kanallarını kullanmasıyla IRC tabanlı KBA’lardan farklılık arz etmektedir. Bu KBA tipinin yaygın olmamasının altında yatan neden olarak, her bir KB için bir anlık mesajlaĢma hesabının açılmasının zorluğu gösterilmektedir. KB’lerin ağa bağlı olması ve her zaman çevrimiçi kalması gerekmektedir. Birçok anlık mesajlaĢma hizmeti aynı hesabın kullanılmasıyla birden fazla bilgisayardan sisteme bağlantı kurulmasına izin vermediğinden dolayı her KB’nin kendi hesabının olması gerekmektedir. Ayrıca anlık mesajlaĢma hizmetleri her türlü otomatik hesap açma iĢlemini önlemektedir. Sonuç olarak, anlık mesajlaĢma tabanlı KBA’ların sahiplerinin sınırlı sayıda anlık 40 mesajlaĢma hesapları bulunmaktadır ve bu da herhangi bir anda çevrimiçi olabilecek KB sayısını sınırlandırmaktadır. Farklı KB’lerin önceden belirlenen farklı zaman dilimlerinde aynı hesabı kullanarak çevrimiçi olabilmeleri sağlanabilmektedir. Ancak bu etkili bir yöntem değildir. Bu tip ağların yönetici komutlarına yanıt vermesi uzun sürmektedir. 5.2.2.3 Ġnternet tabanlı KBA’lar KBA’ları Ġnternet üzerinden kontrol edebilmek üzere tasarlanan bu KBA tipi, yeni ve hızla geliĢen bir KBA mimarisi olarak görülmektedir. Bu mimaride bir KB, önceden tanımlanmıĢ bir Ġnternet sunucusuna bağlanmakta, bu sunucudan komut alabilmekte ve komutlara cevap olarak bu sunucuya veri gönderebilmektedir. Bu tip KBA’ların popüler olduğu, çünkü oluĢturulmasının nispeten kolay olduğu, Ġnternet üzerinde sunucu sıkıntısının yaĢanmadığı, her zaman bir sunucu bulunabildiği ve kolay yönetim için bir Ġnternet ara yüzü kullanılabildiği ifade edilmektedir. 5.2.2.4 Diğer KBA’lar Yukarıda anlatılan KBA türlerine ilave olarak, TCP/IP protokol kümesinden olan TCP, ICMP ve UDP gibi ulaĢtırma katmanı protokollerinden sadece birine dayanan ve kendilerine has olan protokoller üzerinden haberleĢebilen diğer bot program türleri de bulunmaktadır. K&K sunucular KBA sahiplerinin, bot programı bulaĢmıĢ bilgisayarlara komut göndermek için kullandıkları sunuculardır. KBA sahiplerinin, K&K KBA sunucularını geleneksel IRC protokolü üzerinden yönetmek yerine HTTP protokolü üzerinden yönetmeye yöneldikleri ifade edilmektedir. 2008 yılında 15.197 farklı yeni K&K sunucunun tespit edildiği, bu sunucuların %43’ünün IRC, %57’sinin ise HTTP protokolü ile çalıĢtığı tespit edilmiĢtir 65 (ġekil 5.6). 65 Symantec, a.g.e., s. 26 41 ġekil 5.6 : Türlerine göre K&K sunucular66 IRC tabanlı KBA’ların tespit edilmelerinin, izlenmelerinin, filtrelenmelerinin ve engellenmelerinin HTTP tabanlı KBA’lara göre daha kolay olmasının, KBA sahiplerinin IRC den vazgeçmelerine neden olduğu ifade edilmektedir. HTTP haberleĢmesi kötücül trafiğin tespitini zorlaĢtırmak için, KBA trafiğinin diğer Ġnternet trafikleri arasında gizlenmesi için kullanılabilmektedir. Çoğu HTTP bot program trafiğinin, tespit edilmesini önlemek için Ģifrelendiği belirtilmektedir. Bu kötücül trafiğin filtrelenebilmesi için, öncelikle HTTP trafiğinin içinden ĢifrelenmiĢ trafiğin ayırt edilip alınması gerekmektedir. Alınan bu trafik içinde bot programı bağlantılı kötücül bir içeriğin olup olmadığının ayrıca incelenmesi gerekmektedir. Bunlar yapılırken aynı zamanda yasal trafiğin de engellenmeden geçiĢinin sağlanması gerekmektedir. Bundan dolayı bir KB’nin K&K yapısının tespit edilmesinin ve engellenmesinin çok zor olduğu belirtilmektedir. KBA sahiplerinin aynı zamanda P2P yapısını kullanmaktan da vazgeçtikleri ifade edilmektedir. Çünkü iletim sırasında meydana getirdiği gürültüden dolayı bu tür bir trafiğin tespit edilmesinin çok daha kolay olduğu belirtilmektedir. Zaten birçok kurumun ve diğer organizasyonların böyle yüksek bant 66 Symantec, a.g.e. , s. 26 42 geniĢliğindeki trafiğin ağlarına girmesini önlemek için P2P portunu engelledikleri ifade edilmektedir67. KBA saldırılarında en fazla kullanılan IRC protokolünü çalıĢtıran sunucuların dünyada hangi bölgelerde bulunduğunu gösteren ġekil 5.7’de bu sunucuların büyük çoğunluğunun Amerika ve Avrupa kıtalarındaki ülkelerde konumlandığı görülmektedir. ġekil 5.7 : KBA IRC sunucuları haritası68 KBA yazılımları sistemlere veya bilgisayarlara bulaĢırken ve bulaĢtıkları sistemlerden baĢka ağlara saldırırken çeĢitli portları kullanmaktadırlar. Kullanılan port kötücül yazılıma göre değiĢiklik göstermektedir. ġekil 5.8’deki istatistiki verilerde en çok 6667 numaralı portun kullanıldığı ve dünyada bu portu kullanan 1589 adet K&K sunucusunun olduğu görülmektedir. 67 Symantec, a.g.e., s. 26 68 (EriĢim) http://atlas.arbor.net/worldmap/index, 15 ġubat 2010 43 ġekil 5.8 : KBA’larda kullanılan portlar ve sunucu sayıları69 5.3 KBA Ticareti70 KBA’ların neden geliĢtiği ve giderek ciddi bir tehlike arz ettiği sorusunun cevabının, KBA’ların etrafında oluĢan yer altı pazarlarında yattığı düĢünülmektedir. Bugün, siber suçluların, bir KBA’ya eriĢmek için özel bilgiye ya da büyük miktarda paraya ihtiyaç duymadıkları belirtilmektedir. Yer altı KBA sektörü, ihtiyaç duydukları yazılımı, kullanıma hazır KBA’ları ve anonim barındırma hizmetlerini düĢük fiyatlarda herkese sunabilmektedir. KBA sahiplerinin KBA sektöründen nasıl fayda sağladığını görmek amacıyla Ġnternetin karanlık yüzüne bakıldığında: 69 Bu tablo http://atlas.arbor.net/summary/botnets adresindeki veriler kullanılarak hazırlanmıĢtır. (EriĢim 15 ġubat 2010) 70 Bu baĢlığın hazırlanmasında (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009, kaynağından yararlanılmıĢtır 44 Bir KBA oluĢturulması için öncelikle, kullanıcısının bilgisi olmadan uzaktan eriĢerek bilgisayar üzerinde belirli iĢlemleri gerçekleĢtirebilen bir bot programına ihtiyaç duyulmaktadır. KBA oluĢturmak için gerekli olan yazılımlar, Ġnternet üzerinden reklam verenlerle iletiĢime geçerek kolayca satın alınabilmektedir. ġekil 5.9’da bu tip bir reklam yer almaktadır ve birçok antivirüs programı tarafından tespit edilemediği, standart olmayan portları kullanması gibi reklamı yapılan bot programının sahip olduğu özelliklere yer verilmektedir. ġekil 5.9 : Bir bot programının ve kontrol panelinin satıĢı için yapılan reklam Bot programı fiyatlarının, bot programının ne kadar yaygın olduğuna, antivirüs programları tarafından tespit edilip edilmediğine, hangi komutları desteklediğine göre 5 ile 1000 ABD Doları arasında değiĢtiği ifade edilmektedir. Ġnternet tabanlı basit bir bot programı, K&K merkezinin yerleĢtirilebileceği bir barındırma yerine ihtiyaç duymaktadır. Bu tip barındırma yerlerinin, anonim eriĢim ile hazır bir Ģekilde ulaĢılabilir durumda olduğu belirtilmektedir (anonim barındırma 45 hizmeti sağlayanlar genellikle, kolluk birimleri de dâhil olmak üzere günlük kayıtlarının kimsenin eriĢimine açık olmayacağını garanti etmektedir). Bir K&K merkezi oluĢturulduktan sonra, bot programından etkilenmiĢ bilgisayarların bu merkeze bağlantı yapmaları sağlanmaktadır. Burada seçeneklerden birinin, baĢka birileri tarafından bot programı yüklenmiĢ olan hazır KBA’yı satın almak olduğu belirtilmektedir. KBA’ları çalmanın yaygın bir uygulama olmasından bu yana, çoğu alıcının mevcut bir ağdaki kötücül programları ve K&K merkezini kendi ürünleriyle değiĢtirmeyi tercih ettiği ve böylece KBA’nın kontrolünü ele geçirmeyi garantilediği ifade edilmektedir. Yeni satın alınan ağdaki KB’ye bir komut gönderilerek botun, yeni bir K&K adresine sahip yeni bir bot programını indirmesi ve kurması sonra da kendi kendini imha etmesi sağlanmaktadır. Bu iĢlem, yanlıĢ bot programlarını değiĢtirmekte ve KBA yeni K&K merkezi ile haberleĢmeye baĢlamaktadır. Ne yazık ki yeni bir KBA oluĢturmanın çok zor olmadığı ifade edilmektedir. Bu iĢi kolaylaĢtıran araçlar bulunmaktadır. Bunlar arasında Mpack, Icepack ve WebAttacker en popüler olarak bilinen yazılım paketleri olarak anılmaktadır. Bu yazılım paketleri, kötücül Ġnternet sayfalarını ziyaret eden kullanıcıların sistemlerine, tarayıcıların zafiyetlerini istismar ederek bulaĢmaktadır. Bu tarz yazılım paketleri toplu Ġnternet bulaĢma sistemleri veya basitçe ExploitPacks olarak adlandırılmaktadır. Tarayıcının açıklılığı istismar edildikten sonra tarayıcı, Ġnternetten çalıĢtırılabilir bir dosya indirmekte ve çalıĢtırmaktadır. Bu dosya KBA’ya yeni bir KB ekleyen ve kontrolü siber suçluya veren bir bot programıdır. KBA oluĢturmanın bu denli kolay olması KBA ticaretinin de yaygınlaĢmasını kolaylaĢtırmaktadır. Bu araçlar o kadar yaygındır ki Ġnternette gezinen gençler bile rahatça bulabilmekte ve bunları satarak para kazanmayı bile deneyebilmektedirler. ġekil 5.10’da on altı yaĢında bir gencin Mpack paketini satmak için yapmıĢ olduğu duyuru yer almaktadır. 46 ġekil 5.10 : On altı yaĢında bir gencin Mpack paketini satıĢı ExploitPacks’ın aslında Rus korsanlar tarafından geliĢtirildiği (ġekil 5.11) ancak sonraları diğer ülkelerden de ilgi gördüğü gözlemlenmiĢtir. Bu kötücül programların yerelleĢtirildiği ve aktif olarak Çin’de (ġekil 5.12) kullanıldığı belirtilmektedir. 47 ġekil 5.11 : IcePack’in orijinal Rusça sürümü ġekil 5.12 : IcePack’in yerelleĢtirilmiĢ Çince sürümü Daha popüler ve baĢarılı olan bir sistemi kullanmak daha kolay olmaktadır. K&K yazılımı veya ExploitPacks gibi sistemlerin geliĢtiricileri bunu fark etmiĢler ve sistemlerinin popüler olması ve çok talep edilmesi için yüklemesi ve yapılandırma mekanizması kullanıcı dostu olan ürünler geliĢtirmektedirler. 48 Örneğin, bir K&K merkezinin kurulumu genellikle, dosyaların bir Ġnternet sunucusu üzerinden kopyalanmasını ve bir yükleme betiğini çalıĢtırmak için tarayıcıyı kullanmayı içermektedir. Bir Ġnternet ara yüzü yüklemeyi daha kolaylaĢtırmaktadır: ġekil 5.13’te bir siber suçlunun, bir K&K merkezini yapılandırmak ve çalıĢtırmak için ihtiyaç duyduklarını Ġnternet formundaki alanlarda doğru bir Ģekilde doldurduğu görülmektedir. ġekil 5.13 : K&K Ġnternet yükleyicisi Antivirüs ürünlerinin herhangi bir bot programını er ya da geç tespit etmeye baĢlayacaklarının siber suç dünyasında bilinen bir gerçek olduğu ifade edilmektedir. Bunun gerçekleĢmesi durumunda, bilgisayara yeniden bot programı bulaĢma oranı sözkonusu olsa bile üzerinde bir antivirüs yazılımı kurulu bulunan ve kötücül yazılım bulaĢmıĢ bilgisayarların siber suçlular için artık bir anlam ifade etmeyeceği belirtilmektedir. KBA sahipleri ağlarının kontrolünü ellerinde tutabilmek için çeĢitli metotlar kullanmaktadırlar. Bu metotların en etkili olanı kötücül programı tespit edilmekten korumak için kötücül yazılıma yetenek kazandırılması olarak ifade edilmektedir. Karanlık pazar Ģifreleme, paketleme ve kötücül yazılımın gizlenmesi ile ilgili geniĢ hizmetler sunmaktadır. 49 Bir KBA’yı baĢarılı bir Ģekilde iĢletmek için ihtiyaç duyulan her Ģeyin Ġnternette bulunduğu belirtilmektedir. ġu an için, KBA sektörünü geliĢtirenleri yakalamanın mümkün olmadığı düĢünülmektedir. 5.4 KBA’lar Ne Amaçla Kullanılmaktadır?71 KBA’lar siber suçlular tarafından istem dıĢı e-posta göndermek, ülkelerin ağlarına saldırmak gibi birçok suçu gerçekleĢtirmek için kullanılmaktadır (ġekil 5.14). ġekil 5.14 : KBA’larla nasıl para kazanılmaktadır?72 5.4.1 Ġstem dıĢı e-posta göndermek KBA’ların en yaygın ve en basit kullanım Ģeklidir. Uzmanlar istem dıĢı e-postaların %80’ine yakının KB’lerden gönderildiğini tahmin etmektedirler. Ġstem dıĢı e-postalar 71 Bu baĢlığın hazırlanmasında (EriĢim) http://www.viruslist.com/en/analysis?pubid=204792003, 04 Ağustos 2009, kaynağından yararlanılmıĢtır. 72 (EriĢim) http://www.viruslist.com/analysis?pubid=204792068, 04 Ağustos 2009 50 daima KBA sahipleri tarafından gönderilmemekte, istem dıĢı e-posta göndericileri KBA’ları sık sık kiralamaktadırlar. KBA’ların daha çok istem dıĢı e-posta göndermede kullanıldığı ve bir istem dıĢı eposta göndericisinin bir yılda 50.000 ile 100.000 ABD Dolar arasında gelir elde edebildiği ifade edilmektedir. Binlerce bilgisayardan oluĢan KBA’lar, istem dıĢı eposta göndericilerine kötücül yazılımlardan etkilenmiĢ bilgisayarları kullanarak çok kısa bir sürede milyonlarca istem dıĢı e-posta gönderme imkânı sağlamaktadır. Gönderilebilecek istem dıĢı e-posta miktarına ve gönderim hızına ek olarak KBA’lar, istem dıĢı e-posta göndericilerine bir avantaj daha sağlamaktadır. Ġstem dıĢı e-posta göndermek için kullanılan adresler genelde kara listede bulunurlar ve bu adreslerden gelen mesajlar e-posta sunucuları tarafından engellenmekte veya otomatikman istem dıĢı e-posta olarak iĢaretlenmektedir. Yüz binlerce e-posta adresinin (bilgisayarların sahiplerinden “ödünç alınan”) kullanılıyor olması istem dıĢı e-posta göndericilerine bu problemi aĢmalarında yardımcı olmaktadır. KBA kullanarak istem dıĢı e-posta gönderenlerin bir diğer avantajı, kötücül yazılımlardan etkilenen bilgisayarlardan eposta adreslerini toplamaktır. Çalınan bu adresler baĢka istem dıĢı e-posta göndericilerine satılmakta veya KBA sahipleri tarafından istem dıĢı e-posta göndermek için kullanılmaktadır. Büyüyen bir KBA daha fazla e-posta adresinin ele geçirilmesini sağlamaktadır. 5.4.2 ġantaj mesajı göndermek KBA’lar üzerinden para kazanmanın ikinci en popüler yolu on binlerce hatta yüz binlerce bilgisayar kullanılarak DDoS saldırılarının gerçekleĢtirilmesidir. Bu saldırı, bot programından etkilenmiĢ bilgisayarlardan, saldırının hedefindeki Ġnternet sunucusuna bir dizi sahte isteğin gönderilmesini içermektedir. Bunun sonucu olarak ise, sunucu aĢırı iĢ yükü ile yüklenmekte ve dolayısıyla hizmet veremez duruma gelmektedir. Siber suçlular saldırıyı durdurmak için, sunucunun sahibinden genellikle bir ücret talep etmektedirler. Bugün birçok firma sadece Ġnternet üzerinden çalıĢmaktadır. Hizmet verememeye baĢlayan sunucular bu firmaların iĢini zora sokmaktadır ve finansal kayıplara neden olmaktadır. Bu tip firmalar sunucuları en kısa zamanda çalıĢır duruma getirmek için 51 polisten yardım almak yerine Ģantaja boyun eğebilmektedirler. Siber suçluların tam olarak istedikleri de bu olmaktadır ve bundan dolayı da DDoS saldırıları artarak yaygınlaĢmaktadır. DDoS saldırıları aynı zamanda politik bir araç olarak da kullanılabilmektedir. Böyle durumlarda saldırılar, genellikle hükümet birimlerinin sunucularını hedef almaktadır. Bu saldırıları özellikle tehlikeli kılan neden olarak, herhangi bir ülkeye düzenlenen bir siber saldırının baĢka bir ülkede bulunan bir sunucudan yürütülmesinin ve üçüncü bir ülke tarafından da kontrol edilmesinin bu saldırıları kıĢkırtma amaçlı kullanılabilmesi olarak gösterilmektedir. 5.4.3 Anonim internet eriĢimi elde etmek Siber suçlular KB’lerin Ġnternet eriĢimlerini kullanarak, Ġnternet sunucularına eriĢebilmekte, internet sayfalarını çökertmek veya çalıntı parayı transfer etmek gibi siber suçları iĢleyebilmektedirler. 5.4.4 KBA’ları kiralamak / satmak KBA’ları kullanarak yasadıĢı para kazanmanın diğer bir yolu KBA’ları kiraya vermeye veya KBA ağının tamamını satmaya dayanmaktadır. Satmak üzere KBA oluĢturmak kazançlı bir iĢ olarak görülmektedir. 5.4.5 Yemleme Yemleme sayfalarının adresleri ortaya çıkar çıkmaz kara listeye alınmaktadır. Bir KBA yemleyicilere, bot programından etkilenmiĢ bilgisayarları vekil sunucu Ģeklinde kullanarak yemleme sayfalarının adreslerini sıklıkla değiĢtirebilmeleri imkânını vermektedir. Bu yemleyicilerin, Ġnternet sayfalarının gerçek adreslerini gizlemelerine yardımcı olmaktadır. 52 5.4.6 Gizli verilerin çalınması Bu tip suç olayları siber suçlular için cazibesini asla kaybetmeyecek olan suçlar olarak belirtilmektedir. KBA’lar birçok faktör aracılığıyla Ģifre (e-posta ve ICQ hesaplarının Ģifreleri, FTP kaynaklarının ve Ġnternet sunucularının Ģifreleri) ve diğer gizli kullanıcı bilgilerinin vurgunlarını arttırmaya yardımcı olmaktadır. Bir KBA oluĢturmak için kullanılan bir bot programı, Ģifre çalmaya yarayan truva atı gibi diğer bir kötücül yazılımı indirebilmekte ve KBA’daki diğer tüm bilgisayarlara da bunu bulaĢtırabilmektedir. Çalınan Ģifreler ya satılmak için kullanılmakta veya FTP Ģifresi olması durumunda Ġnternet sayfalarına bot programı bulaĢtırılmasında kullanılmaktadır. 53 6. ULUSLAR ARASI ÇALIġMALAR 6.1 ITU’nun ÇalıĢmaları ITU’nun KBA ile mücadele aracının, çok yönlü çok paydaĢlı bir stratejiyi tanımladığı ifade edilmeketdir. Bu stratejinin gerçekleĢtirilmesinin de geliĢmekte olan ekonomilerin, KBA’nın kendi ekonomileri ve toplumları üzerindeki etkileriyle etkin bir Ģekilde mücadele etmeleriyle mümkün olabileceği ifade edilmektedir73. Bu bölümde ITU’nun KBA ile mücadele aracının politika, teknik ve sosyal anlamda getirdiği önerilerden ve yapılması gerekenlerden bahsedilmektedir. 6.1.1 Genel bakıĢ74 KBA ile mücadele aracının genel olarak; Çoklu paydaĢ, çok yönlü bir yaklaĢım, kamu özel ortaklıklarının kullanılması, Farkındalık ve bu alandaki mevcut giriĢimlerin ve yapıların yeniden kullanılması, Yukarıdan aĢağı ve tabandan, yerel ve uluslar arası giriĢimlerin kombinasyonu saç ayakları üzerinde inĢaa edildiği belirtilmektedir. 6.1.2 Politika Rehberi 6.1.4.1 Etkili istem dıĢı e-posta karĢıtı ve siber suç kanunları ve düzenlemeleri75 ITU tarafından, aĢağıda sıralanan baĢlıkların gerçekleĢtirilmesi önerilmektedir. 1. Siber suçlara özel kanunlar, 73 ITU, ITU KBA ile Mücadele Araç Takımı, Tarihçe, Ocak 2008, s. 15 74 ITU, a.g.e. , s. 16 75 ITU, a.g.e. , s. 17 54 2. Ġnternet suçlarının kâğıtsız ve sınır ötesi doğasına uyarlanmıĢ bir mevzuat ve 3. “Ülke bağlantısı” kavramı ile kurulmuĢ sınır ötesi yargı. Birçok ülkede yetkisiz eriĢimleri ve üçüncü kiĢilerin bilgisayar sistemlerinin kullanılmasını yasadıĢı gören bilgisayar suçları yasalarının bulunmadığı ifade edilmektedir76. Ancak, Ġnternet suçlarının karmaĢıklığını ve benzersiz doğasını daha uygun Ģekilde ele alan özel bilgisayar suç yasalarının hazırlanmasına ihtiyaç duyulmaktadır. Buna ilave olarak, sayısal veya “kâğıt olmayan” verilerin delil olarak kabul edilebilmesi için, delil kurallarının değiĢtirilmesinin gerekebileceği, kimlik bilgilerinin ve içeriğin doğrulanabilmesi için elektronik imza gibi metotların kullanılabileceği ifade 77 edilmektedir . Global olarak bakıldığında, Ġnternetin doğası gereği, farklı hukuk sistemleri arasında iĢbirliği ile önlem alınması gereken durumların ortaya çıkabildiği belirtilmektedir. Örneğin istem dıĢı e-posta yaymak ya da kredi kartı bilgileri çalmak için kullanılan bir KBA ile ilgili adli delillerin, birkaç farklı ülkeye yayılmıĢ olabileceği ifade edilmektedir78. Bir olayla ilgili olarak kanunu uygulayan ülkenin yargı alanına giren durumların neler olduğunun tespiti için bir “Ülke Bağlantısı“ kavramını tanıtarak bir yargı haberleĢme ağının kurulmasının kolaylıklar sağlayacağı ifade edilmektedir. Avustralya’nın 2003 tarihli istem dıĢı e-posta kanununun, bir “Avustralya Bağlantısı” kavramını tanıttığı örnek olarak verilmektedir. Bir mesaj, Avustralya’dan kaynaklanıyor veya mesajın talimatı Avustralya’dan veriliyorsa ya da mesaj denizaĢırı bir yerden kaynaklanıyor ancak Avustralya’dan eriĢilen bir adrese gönderilmiĢ ise bu mesaj bir Avustralya bağlantısına sahip olmaktadır79. 76 ITU, a.g.e. , s. 20 77 y.a.g.e. 78 y.a.g.e. 79 y.a.g.e. 55 6.1.4.2 Ġlgili politika paydaĢları arasında kapasite oluĢturma ITU tarafından, aĢağıda sıralanan baĢlıkların gerçekleĢtirilmesi önerilmektedir. 1. Düzenleyiciler, kolluk ve yargı için eğitim programları düzenlenmesi, 2. Milletvekilleri ve bakanlık yetkililerine brifingler verilmesi, 3. Bir eğitilmiĢ araĢtırmacılar havuzu oluĢturulması, 4. Siber güvenlik, adli incelemeler için gerekli araçların sağlanması80 Siber suçlarla ilgili kanunların ve düzenlemelerin, düzenleyicilerin, kolluğun ve yargının kapasite artırım çabalarıyla desteklenmesi gerektiği ifade edilmektedir. Bunun özellikle de, siber suçları ve KBA olaylarını araĢtırması gereken polis personelinin temel bilgisayar becerilerine sahip olmadığı geliĢmekte olan ekonomiler için gerekli olduğu belirtilmektedir. Kanun yapanlara ve ilgili bakanlıklardan görevlilere ilgili siber suç mevzuatının hazırlanması ve kabulü için daha detaylı bilgilendirmeler yapılmasına ihtiyaç olacağı ifade edilmektedir81. Kapasite artırımı ve bilgisayar suçuna ve kovuĢturmaya alıĢmanın yanında, düzenleyici kurumların ve kolluğun, siber suçları incelemek için bir dizi araç ve tekniğin yanı sıra bu araçları kullanacak vasıflı personele ihtiyaç duyacağı belirtilmektedir82. KBA’ların kaynağını ve faaliyetlerini izlemek için görevleri arasında virüsleri ayrıĢtırmak ve analiz etmek de olan sistemlerdeki ve adli ağlardaki uzmanların, bu kuruluĢların bünyesinde kolayca bulunamayabileceği belirtilmektedir. Bu nedenle bu kuruluĢların, bu gibi insanların iĢe alınması konusunu da göz önünde bulundurması gerekmektedir. Ya da en azından tecrübeli harici üçüncü taraf uzmanlardan, iĢ dünyası veya sivil toplum aktörleri tarafından seçilen sivil araĢtırmacılardan oluĢan bir yapıdan yararlanmak gerektiği ifade edilmektedir. Bu yapının, kovuĢturmalar için delil 80 ITU, a.g.e. , s. 17 81 ITU, a.g.e. , s. 21 82 y.a.g.e. 56 elde etmede ya da kuruluĢtan diğer personeli eğitmede yardımcı olabilecek eğitilmiĢ araĢtırmacılardan oluĢan hazır bir havuzu temin etmesi gerekmektedir83. 6.1.4.3 Uluslararası iĢbirliği ve tanıtım için kapsamlı çerçeve ITU tarafından aĢağıda sıralanan baĢlıkların gerçekleĢtirilmesi önerilmektedir. 1. Ortak ve uyumlu politika ve uygulama mekanizmaları 2. Sınır ötesi durumlarda hızlı, koordineli harekete duyulan ihtiyaç 3. Uluslar arası sözleĢmeler ve istem dıĢı e-posta ve siber suçlardaki gruplamalar84 Siber suçlara karĢı kanun uygulayıcı kurumlar arasında uluslararası iĢbirliği ve Bilgi ve ĠletiĢim Teknolojilerinin (BĠT) yasal kullanımının korunması için kapsamlı bir çerçeveye ihtiyaç duyulduğu ifade edilmektedir. Bu tarz bir çerçeve çeĢitli bileĢenleri kapsamaktadır: Siber suça karĢı ortak ve uyumlu bir sivil ve ceza politikası (çift suç gereksinimini göz önünde tutmak), Farklı yargı sistemlerinde var olan gizlilik ve veri koruma kanunları ile ilgili bir farkındalık, Diğer ülkelerdeki siber suç kanun uygulayıcıları için uygun temas noktaları konusundaki farkındalık85. SoruĢturma ile ilgili verilerin sadece kısa bir süre için (ya da muhtemelen sadece saldırı devam ederken) yerinde kalacağı konusunun göz önünde tutulması gerektiği, bir soruĢturmada uluslararası iĢbirliği için acil taleplerin karĢılanması amacıyla hızlı ve etkin bir uyarı mekanizmasına ihtiyaç duyulduğu ifade edilmektedir86. 83 ITU, a.g.e. , s. 21 84 ITU, a.g.e. , s. 17 85 ITU, a.g.e. , s. 22 86 y.a.g.e. 57 SoruĢturmada uluslararası iĢbirliğini, acil uygulama istekleri için 7/24 hatların kullanımını ve diğer iĢbirliği önlemlerini organize eden ve aĢağıda verilen çeĢitli grupların bulunduğu belirtilmektedir: Avrupa Konseyi Siber Suçlar SözleĢmesi, G8 Siber Suçlar ÇalıĢma Grubu Ġnterpol Bilgi Teknolojisi Suçları Görev Gücü87 Avrupa Konseyi’nin 11-12 Temmuz 2007 tarihinde Strazburg’ta siber suçlara karĢı iĢbirliği konulu “Octopus Interface” konferansını organize ettiği, konferansa katılan temsilcilerin 7/24 hizmet veren bir iletiĢim ağının geliĢtirilmesinin teĢvik edilmesi konusunda fikir birliğine vardıkları ifade edilmektedir88. Avustralya, Kore ve diğer Asya Pasifik ülkelerindeki ajansların “Seoul Melbourne” paktını oluĢturdukları belirtilmektedir. ITU, APEC Telekomünikasyon ve Bilgi ÇalıĢma Grubu (APEC Telecommunications and Information Working Group - APECTEL) ve OECD gibi uluslararası organizasyonların araĢtırma ve politika açılarından istem dıĢı e-posta, kötücül yazılım ve siber güvenlik giriĢimleri üzerinde çalıĢtıkları ifade edilmektedir. Ayrıca, (Messaging Anti-Abuse Working Group - MAAWG) ve Yemleme KarĢıtı ÇalıĢma Grubu (Anti Phishing Working Grup - APWG) gibi sektör liderliğindeki koalisyonların düzenleyici ve kolluk birimlerinden paydaĢlarla çalıĢmaya hazır oldukları belirtilmektedir89. Siber güvenlik düzenlemeleri ve uygulama mekanizmalarını kullanan ekonomilerin, bu gruplar ve sözleĢmelerden biri veya bir kaçı ile yakın iliĢkiler kurabilecekleri ifade edilmektedir. Yukarıda bahsi geçen bazı grupların aktif bir Ģekilde birbirleri arasında bağlantı oluĢturmaya ve faaliyetlerindeki iĢbirliğini arttırmaya yoğunlaĢtıkları, uzun vadede çabaların konsolidasyonu ve toplantıların birlikte düzenlenmesi yönünde kesin bir eğilimin olduğu böylece bu tarz giriĢimlere katılma konusundaki seyahat bütçesi ve zaman kısıtlarının da azalacağı belirtilmektedir90. 87 ITU, a.g.e. , s. 22 88 ITU, a.g.e. , s. 22-23 89 ITU, a.g.e. , s. 23 90 y.a.g.e. 58 6.1.4.4 Siber suç ve gizlilik mevzuatları arasındaki çatıĢmalar 1. Çok farklı gizlilik mevzuatı ve veri paylaĢımı kısıtlamalarının bulunması, 2. Eylemcinin kiĢisel verilerinin gizliliğinin ihlal edildiği yönünde dava açması gizliliğin ve anonimliğin seviyesini arttırmaktadır91. Bazı ülkelerdeki gizlilik kanunlarının ve “haberleĢmenin gizliliği” tüzüklerinin kendi ağlarının etkin izlenmesini yasaklamak için yeterince sert olabileceği, ĠSS’lerin kendi ağlarından kaynaklanan kötü amaçlı trafiği tespit etmek ve bununla mücadele etmek için harici raporlara güvenmesi gerekeceği belirtilmektedir92. Avrupa Komisyonu’nun Veri Koruma ÇalıĢma Ekibi’nin IP adreslerinin kiĢisel veri olduğu kararına vardığı, bunun da bu tür verileri ĠSS’ler ve BOME’ler arasında paylaĢmayı zorlaĢtırdığı ifade edilmektedir93. Almanya’daki Holger Voss gizlilik davası örneğinde, ĠSS’lerin IP eriĢimi ve diğer günlük kaydı bilgilerini çok kısa zaman periyotları ve faturalandırma amacı dıĢında tutmalarının engellendiği belirtilmektedir. Ayrıca ĠSS’nin, müĢterinin talebi üzerine ilgili müĢteriye ait kayıtları silmek zorunda olduğu ifade edilmektedir94. Dünya çapında var olan Ģirketlerin, uyumlu bir BT güvenliğine sahip olmak ve gizlilik ve veri koruma konularında çok farklı kanun ve düzenlemelere sahip olan ülkelerde bulunan iĢtirakleri arasında politika izlemek gibi zorluklara göğüs gerdikleri ifade edilmektedir95. Google’ın küresel gizlilik danıĢmanı Peter Fleischer’ın kendi Ġnternet günlüğünde yayımladığı makalesinde kiĢisel verinin ne olduğu konusunu farklı yaklaĢımlarla 91 ITU, a.g.e. , s. 17 92 ITU, a.g.e. , s. 23 93 ITU, a.g.e. , s. 23-24 94 ITU, a.g.e. , s. 24 95 y.a.g.e. 59 detaylı olarak ele aldığı ve bir organizasyonun belirli bir bilginin kiĢisel veri olup olmadığını tespit edebilmek için önerdiği beĢ faktör aĢağıda verilmektedir: Bu bilgi, istatistikî analizlerden faydalanarak herkes tarafından eriĢilebilen bilgi ile nasıl eĢleĢtirilebilir, ĠfĢa edilen bilginin üçüncü bir tarafça tutulan diğer veri ile eĢleĢmesi ihtimali, Bu tanımlayıcı bilgilerin onların eline belki de bireyler hakkında ilave veriler toplamak isteyen yeni hizmetler aracılığıyla gelecekte ulaĢabilme ihtimali, Kimlik belirlemeye yarayan verinin eĢleĢtirilmesinin kolluğun müdahalesi ile üretilmiĢ olma ihtimali, KuruluĢun, veriyi tanımlanabilir yapmamak için yasal olarak bağlayıcı taahhütler yapıp yapmadığı (sözleĢme yoluyla veya gizlilik bildirimi ile)96. 6.1.4.5 Siber suçların ve KBA ile mücadele iĢleminin yerel uygulaması için çerçeve 1. ITU-D’nin SG-1 22/1 sorusu, siber güvenlik ve siber suçların caydırılması için ulusal bir yaklaĢım organize etmeyi içeren “Siber Güvenliğe Ulusal Bir YaklaĢım Ġçin En Ġyi Uygulamalar” raporu, 2. Ġzleme, uyarma ve olaya tepkinin geliĢmesi, 3. KolaylaĢtırıcı ve bilgi takası sağlayan bir ajans97. 6.1.4.6 Siber güvenliğin ulusal çerçevesi KBA ile mücadelenin ve genelde siber güvenliğin büyük sorununun ulusal düzeydeki farklı aktörler arasında yoğun bir iĢbirliği gerektirmesi olarak ifade edilmektedir. Bu bağlamda ITU Telekomünikasyon Kalkınma Sektörü (ITU-D) ÇalıĢma Grubunun, siber güvenliğe ulusal bir yaklaĢım için bir çerçeve tanımlayan Ulusal Güvenlik YaklaĢımı konusunda bir En Ġyi Uygulamalar raporu geliĢtirmekte olduğu belirtilmektedir. Hazırlanan bu siber güvenliğin ulusal çerçevesinin, ulusal çabanın beĢ temel öğesini tanımladığı ifade edilmektedir98: 96 ITU, a.g.e. , s. 24-25 97 ITU, a.g.e. , s. 17 98 ITU, a.g.e. , s. 25 60 1. Ulusal bir siber güvenlik stratejisi geliĢtirmek, 2. Ulusal kamu-özel iĢbirliğini tesis etmek, 3. Ulusal bir olay yönetme kabiliyetinin oluĢturulması, 4. Siber suçlardan caydırmak, 5. Ulusal siber güvenlik kültürünü teĢvik etmek99. 6.1.4.7 Ülke çapında izleme, uyarma ve olaylara karĢılık verme sisteminin geliĢtirilmesi KBA’lardan kaynaklanan hasarın ve kaybın saniyeler içinde veya KBA’nın oluĢturulması safhasındaki birkaç dakikada baĢladığı ifade edilmektedir. Bir KBA’nın en kötü etkilerinin (veri kaybı, hırsızlık vb.) ilk 24 saat içerisinde kendisini göstereceği belirtilmektedir. Erken tespit ve müdahalenin olduğu kadar, etkilenen bilgisayarların ve K&K merkezlerinin susturulmasının da gerçek zamanlı durumlarda kritik olduğu ifade edilmektedir100. Ġlgili bilgisayarların susturulması, etkilenen bilgisayarın hızlı ve etkin bir Ģekilde saptanmasını ve ĠSS’deki uygun temas noktasına veya kullanıcının bağlı olduğu ağa ihbar gönderilmesini gerektirmektedir. Temas noktalarının olası farklılıkları göz önünde bulundurulduğunda, KBA sorunları için ülke düzeyinde tek bir temas noktası olmasının avantajlı göründüğü belirtilmektedir101. Bu sistem için Avustralya Ġnternet Güvenlik GiriĢimi (Australian Internet Security Initiative - AISI) modeli önerilmektedir. Bu modelde bir izleme, uyarı ve olaylara karĢılık verme sisteminin Avustralya HaberleĢme ve Medya Otoritesi (Australian Communications and Media Authority - ACMA) ile bir kamu-özel iĢbirliği Ģeklinde kurulduğu ve bu yapının Avustralya’daki 25 ĠSS ile iĢbirliği içinde Avustralya için düğüm temas noktası olarak hizmet verdiği ifade edilmektedir102. 99 ITU, a.g.e. , s. 25 100 ITU, a.g.e. , s. 26 101 y.a.g.e. 102 y.a.g.e. 61 ACMA’nın, kötücül yazılımlar yayan IP adresleri hakkında veriler topladığı ve projeye katılan ĠSS’ler için düzenli olarak özet e-postalar ürettiği ifade edilmektedir. Bu özet eposta ile ACMA ilgili ĠSS’lere, ağlarında kötücül yazılımlardan etkilenmiĢ veya kötücül yazılım veya trafik yayan IP adreslerinin detaylarını vermektedir. AISI çerçevesinde katılımcı ĠSS’ler kendi IP uzaylarından kaynaklanan kötü faaliyetlerle, müĢterilerle bire bir temasa geçerek onların filtrelerini veya güvenlik politikalarını değiĢtirmek Ģeklinde mücadele edeceğini taahhüt etmektedir103. Benzeri bir giriĢim olan Bot Kızartma Operasyonu’nun (“Operation Bot Roast”), ABD Federal AraĢtırma Bürosu (Federal Bureau of Investigation - FBI) tarafından KBA Görev Gücü (Botnet Task Force), Microsoft ve Carnegie Mellon Üniversitesindeki BOME koordinasyon merkezini de içeren özel sektör ve sivil toplum ortakları ile iĢbirliği içinde gerçekleĢtirildiği ifade edilmektedir. FBI tarafından gerçekleĢtirilen ve KBA siber suçlarıyla ilgili birçok kovuĢturmanın bu giriĢimle yakından ilgili olduğu belirtilmektedir104. Böyle bir yapının siber güvenlik konusunda görevlendirilmiĢ ilgili bakanlığa ya da ajansa bağlı olabileceği belirtilmektedir105. Diğer ülkelerde, bir üniversite gibi bir mükemmellik ve uzmanlık ulusal merkezinin, bir bilgi takas merkezi oluĢturmak için yetkilendirilebileceği ve bu merkezin paydaĢlar arasında tarafsız, uzman bir üçüncü taraf olarak hizmet verebileceği ifade edilmektedir. Bu gibi durumlarda, ilgili politika uygulama yönergesi ile uygun bir kamu kurumunun, bu merkezle yakın iĢbirliği içinde çalıĢabileceği belirtilmektedir106. Olayı raporlayan birimin uygun bir temas noktasını bilmesi ve o ülkenin düğüm temas noktasına bilgi amaçlı bir rapor gönderilebiliyor olması durumunda, ilgili ĠSS’ler ile doğrudan da temas kurulabileceği ifade edilmektedir107. 103 ITU, a.g.e. , s. 26 104 ITU, a.g.e. , s. 27 105 y.a.g.e. 106 y.a.g.e. 107 y.a.g.e. 62 Ulusal düğüm temas noktasının, toplanan raporlar ve diğer kaynaklardan elde edilen bilgiler için bir bilgi takas merkezi olarak hizmet verdiği belirtilmektedir 108. Düğüm temas noktası ilave olarak, ülkenin Ülke Kodu Üst Seviye Alan Adı (Country Code Top-Level Domain - ccTLD) kayıt merkezlerine ve Ġnternet Ġsimleri ve Numaraları Atama Kurumu (Internet Corporation for Assigned Names and Numbers ICANN) tarafından akredite edilmiĢ diğer kayıt kuruluĢlarına da, KBA sahibi ve istem dıĢı e-posta gönderenler tarafından kaydedilmiĢ alan adları konusunda uyarılar göndermekte ve bu alan adlarının iptal edilmesi istenmektedir. KBA’nın küresel dağıtık yapısı gereği bir alan adının, bir KBA’yı veya KBA faaliyetlerine dayanan istem dıĢı e-postayı susturmak için merkezi bir kırılma noktası olarak hizmet verdiği ifade edilmektedir109. Temas noktalarının çeĢitliliği göz önüne alındığında düğüm temas noktası için, KBA faaliyetlerinin ĠSS’lere ve ülkedeki diğer ağlara rapor edilebilmesi için uygun bir temas noktaları listesi tutulması önerilmektedir. Bu listenin ihtiyaç halinde paylaĢılabileceği belirtilmektedir. ĠSS’lerin görevlendirdiği kiĢilerin gerçek isimlerinin, ünvanlarının ve epostalarının bu temas noktaları veritabanında paylaĢılabileceği ya da katılımcı ĠSS’ler, sektör ve sivil toplum üyeleri için kapalı ve güvenli bir e-posta haberleĢme sisteminin kurulabileceği ifade edilmektedir110. Ġlave olarak, düğüm temas noktasının, yerel olarak kamu, sektör ve sivil toplum paydaĢları arasında kamu-özel sektör iĢbirliğinin kurulmasını kolaylaĢtırması gerektiği belirtilmektedir. Bu tür iĢbirliklerinin temas noktaları veritabanı oluĢturmanın yanında, bilgi paylaĢmayı ve karĢılıklı kapasite geliĢtirme giriĢimlerini vurgulayacağı ifade edilmektedir111. 108 ITU, a.g.e. , s. 27 109 ITU, a.g.e. , s. 28 110 y.a.g.e. 111 y.a.g.e. 63 Güvenliğin ve KBA karĢıtı/ istem dıĢı e-posta/ siber suç araĢtırma topluluğunun parçası olan devlet, özel sektör, sivil toplum ve diğer paydaĢ gruplardan bazı güvenilir organizasyonlara düğüm temas noktasının tanıtılması gerekmektedir112. Bu gruplardan gelen raporların güvenilir olduğu belirtilmektedir. Güvenilir raporlama birimleri ĠSS’lerin direkt temas bilgilerinin bulunduğu veritabanına eriĢebilmektedirler. Ayrıntılı olmayan bu tip güvenilir raportör listesinin: Diğer ülkelerden düğüm temas noktalarını, kamu kurumlarını, CERT/CSIRT kuruluĢlarını, LAP, FIRST, MAAWG ve CAUCE/APCAUCE gibi grupların üyelerini, APEC-TEL, Asya Pasifik Telekom Birliği (Asia-Pasific Telecommunity - APT) ve OECD gibi uluslararası kuruluĢları, Ġstem dıĢı e-posta karĢıtı ve antivirüs yazılım üreticilerini, Güvenlik araĢtırmacıları ve araĢtırma organizasyonlarını (Castlecops, SANS, Team Cymru), Netcraft ve Phishtank gibi Ģifre çalma iĢlemlerini takip eden birimleri ve depolama birimlerini, Spamhouse ve CBL gibi güvenilen engelleme listelerini içerebileceği belirtilmektedir113. 6.1.4.8 GeniĢ bağlamda izleme, uyarı ve olaylara karĢı koyma 114 KBA ile mücadelenin en iyi, ilgili ĠSS’ler tarafında ağ seviyesinde yapıldığı ifade edilmektedir. Düğüm temas noktasının ĠSS’leri, ağ güvenliği ve yönetimi konusunda en iyi uygulamaları takip etmelerini teĢvik eden bir modeli benimsemesi gerektiği belirtilmektedir. Düğüm temas noktasının daha makro düzeyde daha geniĢ konular üzerinde yoğunlaĢması gerektiği ifade edilmektedir. 112 ITU, a.g.e. , s. 29 113 y.a.g.e. 114 ITU, a.g.e. , s. 30-31 64 Ġzleme, uyarı ve olaylara karĢı koyma kategorisinde yer alabilecek bazı önerilen faaliyetler: KBA faaliyetlerinin trendleri ve teknikleri hakkında bilgiler elde etmek, Kötücül yazılım ve KBA faaliyetleri konusunda metrikler üretmek ve bunları paylaĢmak, Otomatik uyarıları ve diğer trendleri ve alınan bilgilerin analizlerini paylaĢmak, Yerel ve uluslar arası paydaĢlar arasındaki teması kolaylaĢtırmak, StandartlaĢtırılmıĢ olaylara karĢı koyma sistemlerinin kurulması ve bunların kullanımında kapasiteyi geliĢtirmek, olarak sıralanabilmektedir. 6.1.4.9 Yeniden suç iĢleme eğilimi115 Ġnternet Mimarisi Kurulu’nun (ĠMK), “Ġstenmeyen Trafik” konulu bir çalıĢtayda, kullanıcı baĢına ihbarın pahalı ve zaman alıcı bir uygulama olduğunu, ancak KBA ile mücadelede programların teknik olarak sınırlı olmasından dolayı ve yeniden suç iĢlemedeki yüksek risk nedeniyle temizlenmiĢ bir bilgisayara yeniden kötücül yazılım bulaĢacağına iĢaret edilmektedir. ĠSS tarafından yapılan ihbarın, son kullanıcının bilgisayarını onarması üzerinde sınırlı etkisi olduğu ifade edilmektedir. AĢağıda bazı kullanıcıların bu tip bir ihbara verdikleri yanıtlar sıralanmaktadır. Diğer Ģeylerin yanı sıra kullanıcıların: Sıradan bir virüs bulaĢması olarak önemsemeden geçer, Muhtemelen bilgisayarlarını temizlerler, o Bu, baĢka bir virüsün önümüzdeki birkaç gün içinde yeniden bulaĢması ile sonuçlanmaktadır. Eski bilgisayarları ile aynı açıklıklara sahip yeni bir bilgisayar satın almak, 115 ITU, a.g.e. , s. 32-34 65 o Eğer yeni bilgisayara korsan bir yazılım yüklü ise bu baĢtan güvensiz demek olacaktır. gibi eğilimler gösterdikleri ifade edilmektedir. Ayrıca, kötücül yazılım bulaĢmıĢ bilgisayar, eski olsun yeni olsun, güncel olsun veya olmasın, aynı kullanıcılar tarafından aynı davranıĢ kalıplarıyla kullanılmakta, bu tip bir kullanıcıya yapılacak olan bir ekran koruyucu teklifi ile, var olan bütün koruma ayarları kaybedilebilmekte ve antivirüs yazılımı uyarılar vermeye baĢlamaktadır. BulaĢmıĢ bazı kötücül yazılımların Windows güncellemelerini etkisizleĢtirdiği, Ġnternet sayfasına bağlanarak antivirüs ve güvenlik yazılımını güncellemeyi engellediği için sistemden temizlenmesi biraz zor olabilmektedir. Bu iĢlemin, bulaĢılan bilgisayarın “hosts” dosyasını değiĢtirerek güncelleme sunucusu olarak baĢka IP adreslerini göstermek, DNS ayarlarını değiĢtirerek DNS sorgularına sahte cevaplar dönen istem dıĢı e-posta kontrol sunucusunu göstermek veya Windows’un DNS aramalarında kullandığı yazılım kütüphanelerini değiĢtirmek Ģeklinde yapıldığı ifade edilmektedir. Kötücül yazılım bulaĢmıĢ bir bilgisayarı temizlemek için son güvenlik güncellemelerini indirmeye çalıĢmanın, o bilgisayara istem dıĢı e-posta kontrol güncelleme sunucusundan kötücül yazılım indirmeye yol açabileceği ifade edilmektedir. Bu stratejinin aynı zamanda çevrim içi bankacılık veya e-ticaret iĢlemleri yapmaya çalıĢıldığında, bir kullanıcıyı bir yemleme sayfasına yönlendirmek için de kullanıldığı belirtilmektedir. Diğer bir konunun ise, yetiĢkinlerin evdeki bilgisayarı kullanırken bilgisayarın güvenliğini sağlamada, bankacılık ve diğer iĢlemleri için kullanmada dikkatli olunması olduğu ifade edilmektedir. Aynı bilgisayarı kullanan evdeki bir çocuğun, ekran koruyucu olarak bir truva atını indirip yüklemesi banka bilgilerinizin çalınmasına yol açabilmektedir. Ampirik gözlemlerin kötücül yazılım bulaĢmıĢ bilgisayarı onarma bağlamında, farklı sektörler veya iĢ ve ev kullanıcıları arasında kayda değer bir farklılığın olmadığını gösterdiği ifade edilmektedir. Bir güncelleme yayımlandığında bilgisayarların %40’ının yamayı indirip kurma eğiliminde olduğunu gösterdiği ifade edilmektedir. Her bir sonraki ay içinde geri kalan savunmasız bilgisayarların %40’ının güncelleme 66 yaptığı gözlenmiĢtir. Kalan yüzde içinde birkaç bilgisayarın ise 6 ay geçtiğinde bile güncelleme yapmadığı gözlenmiĢtir. Bunun da, bundan sonraki hayatlarında bu açıklıklar ile Ġnternete bağlı kalacak olan milyonlarca bilgisayar anlamına geldiği belirtilmektedir. 6.1.4.10 Güvenlikli alanların kullanılmasındaki finansal engeller116 Güvenlikli alanların, bir ĠSS’nin izleme, uyarma ve olaylara karĢı koyma sistemlerinin iĢletilmesi açısından kritik olmaya baĢladğına dikkat çekilmektedir. Ancak, güvenlikli alanların uygulanmasının teknik olarak karmaĢık ve mali olarak pahalı bir iĢlem olduğu ve pahalı yeni ekipmanların kurulmasını ve var olan ağ yapısının değiĢtirilmesini gerektirebileceği ifade edilmektedir. Fiyat anlamında hassas bir piyasada Ġnternet eriĢimi sunan ĠSS’lerin, rekabet ortamında daha ucuz fiyatlara geniĢ bant eriĢimi sağlamak için sermayenin ve iĢletim maliyetlerinin düĢüĢüne odaklandıkları belirtilmektedir. Kötücül yazılım bulaĢmıĢ IP adreslerinin tespit edilebilmesi için kurulan güvenlik duvarı ve diğer ekipmanların baĢlangıçta yüksek miktarda sermaye gerektirdiği ifade edilmektedir. Güvenlikli alanlarda karantinaya alınan kullanıcıların desteklenmesi için yüksek bir iĢletim maliyetinin olduğu vurgulanmaktadır. 6.1.4.11 Ġzleme, uyarı ve olaylara karĢı koyma sistemi kullanan ĠSS’lerin avantajları117 ĠSS’ler kendi izleme, uyarı ve olaylara karĢı koyma sistemlerini iĢletmeye karar verirken, güçlü mali ve iĢ politikası engelleri ile yüzleĢmektedirler. Buna rağmen bunun, kötücül trafiğin gerçek zamanlı tespiti ve bununla mücadeleyi kolaylaĢtırmak için gerekli olduğu belirtilmektedir. Personel sorunları ve zaman kısıtları, düğüm temas noktasının ve katılımcı paydaĢların raporlamayı otomatikleĢtirmelerini ve istem dıĢı e-posta yayan 116 ITU, a.g.e. , s. 34 117 ITU, a.g.e. , s. 35-37 67 kullanıcıların ya da istem dıĢı e-posta yayması veya DDoS saldırısı gerçekleĢtirmesi için uzaktan kontrol edilen ve bir KBA’nın parçası olan bilgisayarların susturulmalarını zorunlu kılmaktadır. Ġhbarların maliyetinin, özellikle de bu ihbarlar bir kamu kurumundan yapılıyorsa, ĠSS’leri ağlarının güvenlik seviyesini arttırmaları ve sektördeki diğer en iyi uygulamaları takip etmeleri konusunda motive edeceği ifade edilmektedir. ĠSS’lerin kendi IP uzaylarından kötücül trafik yayılmasından dolayı diğer ĠSS’ler tarafından engellenmesi riskinin olduğu, bunun da çeĢitli Ġnternet sayfalarına eriĢememe gibi sonuçlardan dolayı müĢteri güvenini azaltacağı belirtilmektedir. Ġstem dıĢı e-posta karĢıtı yazılımların ve antivirüslerin üreticileri tarafından yayımlanan “Ġlk 10 istem dıĢı e-posta kaynağı” listesinde yer almanın, ilave olarak itibar kaybına yol açacağı belirtilmektedir. Bu gibi olumsuz durumlardan kaçınmanın ĠSS’leri motive edeceğine inanılmaktadır. 6.1.3 Teknik Rehber 6.1.3.1 Aktif KBA’lar hakkında bilgi elde etmek ve onları belirlemek için araçlar ve teknikler118 Aktif KBA’lar hakkında bilgi elde etmek ve onları belirlemek için araçlar ve teknikler aĢağıda verilmektedir: 1. Olaya yanıt vermek için ĠSS tarafından kontrol edilen IP uzayının saptanması, 2. Whois ve Rwhois kayıtlarının ĠSS’ler tarafından bakımının yapılması, 3. KBA bilgisayarlarının otomatik tespit edilmesi ve raporlanması, 4. DNS engelleme listeleri, balküpleri, pasif DNS, trafik akıĢı ve günlük kayıtları tabanlı analiz teknikleri. 118 ITU, a.g.e. , s. 18 68 6.1.3.2 KBA ile mücadele için ĠSS’lerin en iyi uygulamaları119 KBA ile mücadele için ĠSS’lerin en iyi uygulamaları aĢağıda verilmektedir: 1. Ağ düzeyinde güvenlik duvarı ve güvenlik politikaları değiĢiklikleri, 2. Port 25 yönetimi, etkilenen kullanıcıları çevreleyerek karantina altına almak, 3. Gelen ve giden elektronik postaları filtrelemek, 4. Kimlik doğrulama ve itibar sistemleri, 5. Bir sektör/toplum genelinde istem dıĢı e-postayı izleme, uyarma ve olaya karĢılık verme sistemini rapor olarak almak, 6. Kullanıcılara güvenli BĠT altyapısının dağıtılması. Sektörün en yaygın kabul gören en iyi uygulamalarında KBA ve kötücül faaliyetler ile mücadele etmek için, ĠSS’lerin sunduğu Ġnternet ve e-posta hizmetlerinin yanı sıra anlık mesajlaĢma gibi diğer mesajlaĢma hizmetlerinin kullanıcıya eriĢiminin birkaç adım alabildiği ifade edilmektedir. Bunun kullanıcıları ve ağları bu tür faaliyetlerden korumak için ve kendi ağlarından bu tür faaliyetlerin yayılmasını engellemek için gerekli olduğu belirtilmektedir120. MAAWG, Ġnternet Mühendisliği Görev Gücü (Internet Engineering Task Force - IETF) ve IAB’nin bu alandaki mevcut en iyi uygulamalar konusunda çalıĢtıkları ifade edilmektedir. Bu süreçlerin açık olduğu ve isteyenlerin katılabileceği belirtilmektedir. ĠSS’lerin ve geliĢen ekonomilerdeki diğer paydaĢların bu süreçlere yüz yüze olmasa da e-posta listelerine katılmak Ģeklinde de olsa teĢvik edilmesi gerektiği ifade edilmektedir121. ĠSS’lerin KBA ile mücadelede en iyi uygulamaları aĢağıdaki teknik önlemleri içermektedir. 119 ITU, a.g.e. , s. 18 120 ITU, a.g.e. , s. 38 121 y.a.g.e. 69 a. ĠSS kullanıcılarına gelen e-postaların filtrelenmesi122 Gelen trafiğin filtrelenmesine duyulan ihtiyaç, ağları ve ağdaki kullanıcıları harici tehdit kaynaklarından (istem dıĢı e-posta, DDoS, kötücül yazılımlar vb.) korumaktan kaynaklanmaktadır. Filtreleme metotları temel düzeyde yerel olarak derlenen kamuya açık olan IP engelleme listeleri ile ilgilenmektedir. ĠSS’lerin kullanıcılarının e-posta kutularını kötücül yazılımlara karĢı filtrelemek için antivirüs filtrelemeyi kurabilecekleri ifade edilmektedir. b. Giden trafiğin filtrelenmesi123 ĠSS’lerin ve ağ iĢletmecilerinin, kendi ağlarından kaynaklanan kötücül trafiği kendi ağlarından çıkıp diğer ĠSS’ler için bir problem olmadan önce incelemeleri gerektiği konusunda fikir birliğine vardıkları belirtilmektedir. Bu konuda birçok en iyi uygulamanın olduğu ifade edilmektedir. c. Sahte kaynak adres trafiği filtresini de içeren yönlendirici seviyesinde filtreleme124 Bazı kötücül trafikler kaynak IP adresini sahte göstermeye çalıĢmakta, sahte gösterilen kaynaklardan ya da izin verilmemiĢ veya yönlendirilemeyen ağlardan çıkan paketlerin filtrelenmesinin yaygın olarak bilinen bir en iyi uygulama olduğu ifade edilmektedir. Ġngiltere’nin Ulusal Altyapının Korunması Merkezi’nin 2004 yılında, Kenar Ağ Geçidi Protokolü (Border Gateway Protocol - BGP) yönlendirici seviyesinde filtrelemeye iliĢkin bir dizi en iyi uygulamayı kullanılabilir duruma getirdiği belirtilmektedir. 122 ITU, a.g.e. , s. 38-39 123 ITU, a.g.e. , s. 39 124 y.a.g.e. 70 d. Port 25’in yönetimi125 MAAWG’nin e-posta iletimi konusunda, MAAWG’nin üye ĠSS’leri tarafından yaygın olarak kullanılan e-posta servis sağlayıcılarına aĢağıdaki en uygulamaları önerdiği ifade edilmektedir: Port 25 yönetiminde ĠSS: E-posta gönderme hizmetini RFC 2476’da tanımlandığı Ģekliyle port 587 üzerinden sağlamalıdır. E-posta gönderimi RFC 2554’de tanımlandığı gibi kimlik doğrulaması gerektirmelidir. Port 587’nin bağlantısına müdahaleden kaçınmalıdır. E-posta istemci yazılımını port 587’yi kullanmaya ve e-posta gönderimi için kimlik doğrulamaya ayarlamalıdır. Ağdaki tüm bilgisayarların port 25’e eriĢimlerini engellemelidir. E-posta sunucuları dıĢında ağa port 25’den gelen trafiği engellemelidir. e. Kimlik doğrulama mekanizmaları126 Temel filtreleme tekniklerinden öteye gidildiğinde ĠSS’lerin gelen e-postayı çeĢitli kimlik doğrulama mekanizmaları ile doğrulaması gerekmektedir. Buna ek olarak ĠSS’lerin diğer ĠSS’lere yardımcı olmak için kullanıcıları tarafından gönderilen epostaların giden kimlik doğrulamasını yapmaları konusunda teĢvik edilmesi gerekmektedir. 6.1.3.3 Ġzleme, uyarı ve olaylara karĢı koyma sisteminin teknik bileĢenleri a. Sistem ve ağ adli araçları127 Siber suç konularında delil elde etmenin, ele geçirilmiĢ ve kötücül yazılımdan etkilenmiĢ bilgisayarın iç yazılımlarının ayrıntılı bir Ģekilde incelenmesini gerektirdiği ifade edilmektedir. DeğiĢtirilen dosyaların listesi ve Windows kayıt defteri bileĢenleri ve adli olarak kötücül yazılımın bozulmamıĢ kopyasının elde edilmesi için buna 125 ITU, a.g.e. , s. 40-41 126 ITU, a.g.e. , s. 41 127 ITU, a.g.e. , s. 45 71 ihtiyaç duyulmaktadır. AraĢtırmacılar ayrıca, bir kötücül yazılımın, bir bilgisayara bulaĢtıktan sonra o bilgisayarın Ġnternete bağlanması sırasında gerçekleĢtirdiği faaliyetler hakkında da detaylı bilgiler toplamak istemektedirler. Bu tür faaliyetler, komut almak için K&K sunucusuna yapılan bir bağlantıyı, ele geçirilen bilgisayara yerel bir yemleme sayfasının veya diğer yasadıĢı Ġnternet sayfalarının kurulumu, Ģifre kırma teĢebbüslerine ve DDoS saldırılarına katılma veya diğer KBA’larla ilgili faaliyetler olabilmektedir. Siber suçları olduğu gibi çocuk istismarı gibi diğer çevrim içi kötü fiilleri araĢtıran birçok kolluk biriminin, bu amaçlar için özel adli analiz yazılımlarını kullanma eğiliminde oldukları ifade edilmektedir. Ayrıca özelleĢtirilmiĢ “Canlı CD’ler” bulundurdukları ve kötücül yazılımdan etkilenmiĢ bir bilgisayara yüklenebilecek Ģekilde bu CD’lerin koĢan bir Linux iĢletim sistemi ve yüklenmiĢ adli araçları içerdiği belirtilmektedir. Bunun kötücül yazılımdan etkilenen bilgisayarın içeriğini bozmadan ve o bilgisayarı kötücül yazılımlardan izole ederek inceleneye olanak sağladığı ifade edilmektedir. b. Bir ĠSS tarafından kontrol edilen IP uzayının tespiti: Whois ve Rwhois kayıtları128 Bir olayı rapor etmek için ĠSS ile doğrudan temas kuran düğüm temas noktası veya diğer paydaĢların uyarılarının IP tahsis ve yönlendirme veritabanına eklenebileceği ifade edilmektedir. Bununla beraber birçok ĠSS’in özellikle de geliĢmekte olan ekonomilerde, ağlarındaki tahsisli IP adreslerinin mevcut durumunu yansıtacak gerekli whois (rehber) bilgilerini güncellemedikleri belirtilmektedir. Daha büyük ĠSS’lerin daha küçük müĢteri ĠSS’lere whois güncellemesi yapmadan küçük IP blokları tahsis edebildikleri ifade edilmektedir. Bu gibi durumlarda whois sorgusunun büyük IP bloklarının büyük ĠSS’lere ait olduğunu gösterdiği belirtilmektedir. 128 ITU, a.g.e. , s. 46-47 72 Bu karmaĢık durumlarda kısa vadeli bir çözüm olarak düğüm temas noktasının bir ĠSS’nin bir IP uzayı talep etmesi veya bir IP uzayından vazgeçmesi durumlarında yerel bir IP uzayı veritabanı tutması önerilmektedir. c. KBA bilgisayarlarının otomatik tespiti ve raporlanması129 Düğüm temas noktasının ve katılımcı ĠSS’lerin birçok aktif ve pasif önlemle kötücül yazılımlar ve KBA faaliyetleri hakkında bilgi elde edebilecekleri ifade edilmektedir. Edinilen verilerin, uygulama eylemleri ve kovuĢturma için bilgiler elde edilmesi amacıyla kullanılabileceği belirtilmektedir. 6.1.3.4 KBA faaliyetleri ile mücadele için kayıt kurumu ve kayıt otoritesinin en iyi uygulamaları 1. Kötücül yazılımların veya KBA’ların alan adlarının tespit edilmesi ve etkisizleĢtirilmesi, 2. KBA’lar tarafından kullanılan hızlı DNS değiĢtirme teknikleri ile mücadele a. Uygulama ihtiyaçları doğrultusunda whois’in gizliliğinin dengelenmesi130. a. Hızlı barındırma hizmeti değiĢtirme ve rock phishing131 KBA’ların, merkezi bir kırılma noktası sunan merkezi K&K sunucusu modelinden merkezi olmayan modellere doğru hızla uzaklaĢtıkları, alan adlarına yöneldikleri ve bir KBA için yüzlerce alan adı kaydı içeren DNS’i bir kontrol kanalı olarak kullandıkları belirtilmektedir. Hızlı değiĢen KBA’ların ĠSS’ler, kolluk birimleri tarafından susturulmalarına ya da diğer KBA sahiplerinin kendi KBA’larını çalma giriĢimlerine karĢı kendilerini savunmak için DNS’in sağlamlığını ve esnekliğini kapsamlı bir Ģekilde kullandıkları ifade edilmektedir. 129 ITU, a.g.e. , s. 47 130 ITU, a.g.e. , s. 18 131 ITU, a.g.e. , s. 58-59 73 Tipik bir etki alanında bilgisayar isimlerinin alan adına atanmıĢ ve IP adreslerinin sık değiĢmediği hatta mail.alanadi.com ve www.alanadi.com gibi belirli bir IP adresine atanan birçok alan adının yıllarca aynı kaldığı ifade edilmektedir. Bunların sadece alan adının baĢka bir ĠSS’ye taĢınması durumunda değiĢebileceği belirtilmektedir. Öte yandan hızlı DNS değiĢtirme büyük miktarda alan adları ve sunucular kullanmakta, aslında KBA’daki her bir bilgisayarın potansiyel bir hızlı değiĢtirme sunucusu olabileceği belirtilmektedir. KBA için kullanılan alan adlarının etki alanları arasında hızlıca dolaĢtıkları ve bir etki alanındaki bilgisayar isimlerinin, DNS sunucularının ve IP adreslerinin dakikalar içinde hatta daha kısa sürelerde değiĢebildiği ifade edilmektedir. Bu hızlı değiĢimlerin her birinin, KBA’nın reklam sayfasını veya e-posta kaynağını tamamen farklı bir ülkedeki farklı bir yere hızlıca taĢınması için hizmet verdiği belirtilmektedir. KBA için kullanılan etki alanının, tamamı KBA bilgisayarlarında barındırılan ve ilave esneklik sağlayan birkaç DNS sunucusuna ve birkaç IP adresine sahip olabileceği ifade edilmektedir. Bir tek K&K sunucusunun ya da bir yemleme sayfasının susturulmasının, lokasyonun IP’den IP’ye ve ülkeden ülkeye hızlı bir Ģekilde değiĢmesinden dolayı neredeyse mümkün olmadığı düĢünülmektedir. Rock’ın hazır yapım bir yemleme aracı olduğu, bir yemleme kampanyası oluĢturabileceği, banka ve çok çeĢitli mali kuruluĢlara özelleĢtirilebileceği ifade edilmektedir. Doğru Ģablon kümesinin kullanılmasıyla aynı yemleme olayı için, farklı bankaların özgün birer kopyasının oluĢturulabileceği dolayısıyla aynı istem dıĢı eposta altyapısının, aynı KBA’ların, barındırılan aynı Ġnternet sayfalarının hızlıca değiĢtirilebileceği ve her seferinde tamamen farklı bir banka veya finansal kuruluĢ olarak yemleme yapılabileceği belirtilmektedir. b. Kayıt kurumlarının ve kayıt otoritelerinin rolü132 KBA’lar, istem dıĢı e-posta ve kötücül yazılımlar için kullanılan alan adlarının, çalıntı kredi kartları kullanılarak sürekli olarak dolandırıcılıkla kaydettirildiği ve tamamen sahte bir whois kaydına sahip oldukları ifade edilmektedir. 132 ITU, a.g.e. , s. 59-60 74 Anonim alan adı kaydının, kayıt kurumları tarafından tanıtılan ve tamamen yasal olan bir hizmet olduğu ve aslında bununla da alan adının yasal sahibinin gizliliğinin korunmasının hedeflendiği ifade edilmektedir. Doğal olarak KBA sahipleri ve istem dıĢı e-posta gönderenler, anonimliğin bu yönünden faydalanmayı düĢünmüĢlerdir. KBA sahiplerinin ve istem dıĢı e-posta gönderenlerin bir kayıt kurumunda ya da bir ccTLD altında bir defada yüzlerce alan adını kaydettirdikleri ifade edilmektedir. Kayıt kurumlarının ya da ccTLD’nin bu tür alan adlarının susturulması için bir politika uygulamaması durumunda, alan adlarının bu Ģekilde istila edilmesinin artacağı ve KBA’ların etki alanlarını buralara taĢıyacakları ifade edilmektedir. Bazı durumlarda KBA sahiplerinin sahte kayıt kurumu kurmaya teĢebbüs edebildikleri ve dolayısıyla kendi alan adları için kayıt iĢlemlerini kendilerinin yapabilecekleri belirtilmektedir. Aynı zamanda, KBA sahiplerinin sahte ĠSS’ler kurarak kötücül faaliyetleri için barındırma ve eriĢim hizmetlerini de karĢılayabildikleri ifade edilmektedir. 6.1.3.5 e-ticaret ve çevrimiçi iĢlem sağlayıcılar için kapasitenin geliĢtirilmesi Ġnternet üzerinden ticaret yapılmasına ve çevrim içi iĢlemler gerçekleĢtirilmesine imkân veren hizmet sağlayıcıların; 1. Teknik önlemler almaları (DDoS ve veri ihlalleri ile mücadele, kimlik doğrulama) ve 2. Dolandırıcılık iĢlemlerini tespit etmek ve bunlarla mücadele etmek için prosedürler geliĢtirmeleri gerektiği ifade edilmektedir133. 133 ITU, a.g.e. , s. 18 75 a. Siber suç ve sahtecilik için yüksek risk ve cazip hedefler134 ĠĢlerini topluca çevrimiçi olarak gerçekleĢtiren e-ticaret Ġnternet sayfalarının, KBA’lar için favori hedefler olduğu ifade edilmektedir. Bu Ġnternet sayfalarının çevrim içi iĢ için kritik olduğu, dolayısıyla bu sayfaların birkaç saat susmasının büyük mali kayıplara yol açabileceği belirtilmektedir. Dünya üzerinde binlerce kiĢi çevrim içi iĢlemlerini kredi kartlarını kullanarak gerçekleĢtirmektedir. Daimi kullanıcılar kullandıkları sayfada isimleri, adresleri ve kredi kartı numaraları gibi kiĢisel verilerini içerecek Ģekilde kendilerine birer kullanıcı profili oluĢturabilmektedirler. Bütün bu faktörlerin, eticaret ve finansal sayfaları siber suçlar için cazip hedefler haline getirdiği ifade edilmektedir. 6.1.4 Sosyal Rehber 6.1.4.1 Ġnternet güvenliği ve güvenlik konusunda geniĢ tabanlı eğitim giriĢimleri135 KBA’larla mücadele edilirken sosyal anlamda yapılması önerilen çalıĢmalar aĢağıda sıralanmaktadır: 1. Bilgisayar kullanıcı sayısı çok olan hedef yerleri öncelikle korumak (okullar, siber kafeler, vb.), 2. Mevcut sivil toplum BĠT giriĢimleriyle iĢbirliği yapmak ve onlara ilaveler yapmak, 3. Zengin görsel içerik kullanmak (reklamlar, çizgi filmler, vb.). 6.1.4.2 Kullanıcı eğitimi ve farkındalığı arttırma kampanyaları136 KBA’ların etkilerinin ve sonuçlarının, Ġnternet güvenliği hakkında farkındalıktan yoksun toplumlarda çok daha güçlü hissedildiği ifade edilmektedir. Çizgi filmler, posterler ve eğitici kısa filmler gibi görsel medyanın güçlü bir Ģekilde kullanılmasıyla sürekli bir farkındalık oluĢturma sürecine ve eğitim kampanyalarına ihtiyaç 134 ITU, a.g.e. , s. 67 135 ITU, a.g.e. , s. 18 136 ITU, a.g.e. , s. 73 76 duyulmaktadır. Bunun farklı bölgelerde kullanılan yerel dillerin de kullanılarak yapılması gerektiği belirtilmektedir. Bunun bir örneği olarak, Almanya’nın Ģifre güvenliğini ve diğer Ġnternet güvenlik önlemlerini öğretmek için Donald Duck çizgi filmini kullanması gösterilmektedir. Bu konunun, okullardaki kurslarda müfredatın bir parçası olarak, öncelikle temel bilgisayar kurslarının verilmesinden baĢlayarak bilgi güvenliğinin ve çevrim içi güvenli davranıĢların tanıtılması Ģeklinde ele alınması gerekmektedir. Ayrıca bu konulara lisans ve lisansüstü eğitimlerde de yer verilmesi gerektiği ifade edilmektedir. 6.1.4.3 Korsan yazılımlara karĢı ucuz ve açık kaynak yazılım alternatifleri137 Korsan yazılımların kusurlu kaynaklardan geliyor olmasından dolayı, özellikle de kötücül yazılımlara karĢı hassas olduğu yaygın olarak bilinmektedir. Bu tür yazılımların güvenlik ve yama güncellemelerinin yapılamadığı belirtilmektedir. ĠĢletim sistemleri, ofis ve e-posta uygulamaları, antivirüs vb. tescilli yazılımları içeren çeĢitli ucuz alternatifler de bulunmaktadır. Bu tür uygulamalar paylaĢılan yazılım (30 gün süreyle ücretsiz sonrasında ücretli), ücretsiz yazılım (tamamen ücretsiz ancak ücretli olana göre daha az özelliğe sahip) ve özgür ve açık kaynak yazılım olarak kategorize edilebilmektedir. Ancak birçok kiĢinin bu ürünlerin farkında olmadığı belirtilmektedir. Bu tür alternatif yazılımların BĠT organizasyonları tarafından popülerleĢtirilebileceği ifade edilmektedir. 6.1.4.4 Kullanıcılar için güvenli BĠT eriĢiminin kolaylaĢtırılması 1. MüĢteri tarafında evlerde, kafelerde güvenli ekipmanların (sağlam ve güvenlik duvarı etkinleĢtirilmiĢ yönlendiriciler ve kablosuz eriĢim noktaları) kullanılması, 2. Güvenlik yazılımı dağıtmak için gazeteler, okullar, ĠSS’lerle çalıĢmak, 3. Korsanlığa karĢı alternatif yazılımları teĢvik etmek ve önermek138. 137 ITU, a.g.e. , s. 76 77 6.2 APEC’in ÇalıĢmaları Bu bölümde KBA ile mücadelede devletin, özel sektörün ve bireysel kullanıcıların karĢılaĢtıkları zorluklar ve KBA ile mücadelede bu kullanıcı gruplarının her biri için ayrı ayrı çözüm önerileri APEC’in “Guide on Policy and Technical Approaches against Botnet” dokümanı çerçevesinde ele alınmaktadır. 6.2.1 Mevcut durum sorunlar ve problemler139 KBA’ların 1999’dan beri var olduğu düĢünülmektedir. 2007 yılının sonunda hemen hemen bütün güvenlik sektörü, KBA’yı tehditler listesinin baĢına yerleĢtirmiĢtir. WatchGuard, SANS, McAfee AVERT Laboratuarları, Symantec ve Arbor Networks gibi birçok Ģirketin KBA’nın gelecekte en tehlikeli tehditler arasında yer alacağını öngördüğü belirtilmektedir. WatcGuard’ın yaptığı araĢtırmalar sonucunda KBA’nın verdiği zararlar karĢısında, IT yöneticilerinin sadece “KBA” kelimesini bildikleri fakat KBA’nın ne olduğu ve ne yaptığı konusunda bilgi sahibi olmadıkları görülmüĢtür. Bu durumun KBA’ları engellemek için sahip olunması gereken yeterlilikten çok uzak olduğu ifade edilmektedir. Korsanlık teknolojisinin geliĢmesi ile birlikte KBA’nın karmaĢıklığının da artıĢ gösterdiği belirtilmektedir. K&K sistemine entegre edilen P2P yapısı KBA’yı daha güçlü kılmaktadır. Storm solucan (ayrıca nuwar, zhelatin olarak da bilinen) KBA’sı bunun ünlü örneği olarak gösterilmektedir. Bu KBA’nın 2007 yılında ortaya çıktığı ve 2008 yılında hala oldukça aktif olduğu ifade edilmektedir. Yeni nesil kötücül yazılım teknolojileri ile beraber bir KBA’yı tespit etmenin, engellemenin ve takip etmenin zorluklarının büyük ölçüde artıĢ gösterdiği ifade edilmektedir. Mevcut siber uzayın, saldırganların KBA oluĢturmak ve kullanmak için gerçekten iyi bir ortam olduğu belirtilmektedir. Microsoft Kötücül Yazılımlardan Koruma Merkezi’ne 138 ITU, a.g.e. , s. 19 139 APEC, a.g.e., s. 30 78 göre (Microsoft Malware Protection Center - MMPC) Tablo 6.1’de isimleri listelenen eski açıklıkların bot programı yazanlar tarafından hala kullanıldığı saptanmıĢtır. Tablo 6.1 : Bot programı yazanlar tarafından kullanılan bazı eski açıklıklar Açıklığın Kodu MS03-001 - RPC Locator MS03-007 - WEBDAV MS03-026 - DCOM RPC MS03-049 - Workstation Service MS04-007 - ASN.1 MS04-011 - LSASS MS05-039 - PNP MS06-040 - Server service Bununla birlikte Ġnternet tabanlı birçok uygulama ve bilgi sistemi yaygın bir Ģekilde kullanılmakta ve insanların günlük hayatlarıyla yakından iliĢkili olmaktadır. Ġnternet üzerinde her türlü açıklığın bulunabileceği ve kolaylıkla sömürülerek kullanılabileceği vurgulanmaktadır. 6.2.2 KBA’lara karĢı koymada karĢılaĢılan zorluklar140 Ġnternetin bütün dünyayı birbirine bağlaması nedeniyle yerel alanlarda yaĢanan her problemin meydana getirdiği büyük kayıpların geniĢ alanları etkileyebildiği ifade edilmektedir. Bu tür riskleri önlemek veya aĢmak, yaĢanan zarara karĢın çok fazla kaynak gerektirmektedir. KBA’nın ağ güvenliği için çok büyük bir tehdit olduğu vurgulanmaktadır. Saldırı teknolojisinin yaygınlaĢması ile beraber, Ġnternette çok fazla bot programı ortaya çıkmaktadır. Bu durum doğrudan kiĢisel bilgiye veya mülkiyete karĢı büyük bir tehdide yol açmaktadır. Gizli KB’ler farklı saldırılar gerçekleĢtirmek amacıyla saldırganlar tarafından kontrol edilebilmektedir. Yeni bot programı sayısı her geçen gün artmaktadır ve KBA’lardan en çok etkilenenler 140 APEC, a.g.e., s. 35 79 güvenlik korumaları az olan ev kullanıcıları ve küçük Ģirketler olmaktadır. Bu kadar yıllık KBA sürecinde, yer altı ekonomisinin, “programlama, virüs-yayma, hesap bilgilerini çalma, / Ġnternet tehditleri, elde edilen ganimetlerin üçüncü parti platformlar tarafından satılması, paranın aklanması” adımlarından oluĢan bir sektör zinciri oluĢturduğu ifade edilmektedir. Saldırganlar bu süreçte büyük ekonomik çıkarlar elde edebilmektedir. Bundan dolayı yer altı ekonomisinde popüler ve etkili bir saldırı platformu olan KBA’nın, karĢı koyulması gereken tehditlerde ilk sıraya koyulması gerekmektedir. KBA’lar ile ilgili karĢılaĢılan zorluklar devletler, Ģirketler ve bireysel kullanıcı perspektifinden tanımlanabilmektedir. 6.2.2.1 Devletin karĢılaĢtığı zorluklar141 Bilgi kaynakları ve bilgi altyapısı ülkelerin dünyada liderlik için yarıĢtıkları bir sahne olmaya baĢlamıĢtır. Politika belirleme ve ekonomi de bilgi kaynaklarına bağımlı hale gelmiĢtir. Ġnternetin geliĢmesiyle birlikte bilgi güvenliği ile ilgili ağ sorunlarının daha belirginleĢmeye baĢladığı ifade edilmektedir. Ġstatistikler, dünyaca ünlü Ġnternet sayfalarının ve bilgisayarların ya korsanlar tarafından saldırıya uğradığını ya da kötücül yazılımlardan etkilendiğini göstermektedir. Örneğin, G-8’in sadece batılı üyelerinin ağ suçları nedeniyle her yıl 42 milyar ABD dolarıdan fazla zarara uğradıkları ifade edilmektedir. Bundan dolayı birçok ekonomi, bilgi güvenliği seviyesini arttırmak için bilgi güvenliğinin önem sırasını daha yüksek seviyelere çekmiĢ, sürekli tedbirler almaya baĢlamıĢ, yasaları, mevzuatı ve teknik standartları geliĢtirmeye baĢlamıĢtır. Her ne kadar birçok ekonomi KBA’lar için çaba sarf etmiĢ olsa da, siber suçlar için daha iyi bir kolluk modeli bulunmamakta, bu durum biliĢim suçlarının takibini oldukça zorlaĢtırmaktadır. Bunun sebepleri: 1. Suç eylemlerini normal eylemlerden ayırt etmenin zorluğu, 2. Suçun, bilgisayar programının kendisi aracılığıyla tespit edilmesinin zorluğu (Siber saldırıların nesneleri fiziksel ortamlarda tutulan verilerdir. Bir saldırgan 141 APEC, a.g.e., s. 35-36 80 bir kiĢiye ait veriyi çaldığı veya değiĢtirdiği zaman bu çok fazla bir Ģeyi değiĢtirmemekte ve herhangi bir iz bırakmamaktadır.), 3. BiliĢim suçlarıyla mücadelede en temel güç olan ağ polisinin hala çok fazla deneyimi olmayan ve ilgili teknolojilere iliĢkin beceri seviyesi arttırılması gereken çok yeni bir yapı olması, ve 4. Uluslararası yargı standartları olmadığı sürece bu Ģartlar altında gerçek bir fark oluĢturmanın imkânsız olması (Suçların sınır ötesi olması biliĢim suçlarıyla mücadeleyi zorlaĢtırmaktadır. Bu tür durumlar geleneksel suçlardan çok daha fazladır. Ancak, farklı bölgeler ve ekonomiler arasındaki standartların ve suçların farklılığının bir sonucu olarak, siber suçluları cezalandırmak çoğunlukla mümkün olmamaktadır.) olarak ifade edilmektedir. Ġnternet her alanda sınırların aĢılmasını sağlamakta ve siber suçları ve siber terörizmi sınır tanımaz hale getirmektedir. Siber suçlara ve siber terörizme karĢı savaĢmanın dünya çapında bir eylem olmaya baĢladığı ve bu yüzden siber suçlarla mücadele etmek amacıyla birçok ekonominin uluslararası iĢbirliği için çok fazla çaba sarf ettiği ifade edilmektedir. Bu çabaların uluslararası sözleĢmeler yapmayı, konferanslar gerçekleĢtirmeyi, bölgesel iĢbirliğini arttırmayı ve ortak eylemler gerçekleĢtirmeyi hedeflediği belirtilmektedir. Geleneksel ceza yargısı bir tür istikrarlı mekân-zaman iliĢkisini göz önüne almaktadır. Ancak, siber uzayda durum biraz farklılık arz etmektedir. Bu nedenle kimsenin kendi baĢına bir çözüm oluĢturamadığı vurgulanmaktadır. Durumu tamamen daha iyi yapabilmek için, Ġnternet ortamını arındırmanın sadece iĢ dünyasının değil aynı zamanda yönetimin ve politika belirleyicilerin de görevi olduğu ifade edilmektedir. 6.2.2.2 Özel sektörün karĢılaĢtığı zorluklar142 KBA’ların ortaya çıktığından bu yana geliĢim sürecinin hiç durmadığı belirtilmektedir. Bugün KBA’yı, tespit edilmekten ve izlenmekten korumak için saldırganlar tarafından aĢağıda bir kısmı verilen birçok geliĢmiĢ taktiğin kullanıldığı ifade edilmektedir: 142 APEC, a.g.e., s. 36-37 81 1. Paket ve gizleme taktikleri bot programına, imza tabanlı tespitlerden kaçabilmesinde yardımcı olmaktadır. 2. Rootkit teknolojisini kullanan bot programları, bulaĢtıkları bilgisayarda derin bir Ģekilde gizlenebilmekte ve o bilgisayarda güvenlik programlarının çalıĢmasını engelleyebilmektedir. 3. K&K sunucuları ve KB’ler arasındaki Ģifreli haberleĢme, ağ trafiğinin izlenmesini imkânsız kılmaktadır. 4. Hızlı değiĢim, KBA’yı çok esnek ve dayanaklı kılmakta, KBA’nın kontrol merkezini durdurmayı oldukça zorlaĢtırmaktadır. Bütün bu taktikler, etkili karĢı önlemler alma konusunda güvenlik sektörünün özellikle de güvenlik ürünleri üreticilerinin çıtayı yükseltmeleri gerektiği sonucunu doğurmaktadır. Ekonomik bir varlık olarak Ģirketlerin ilk amacı, varlıklarını sürdürebilmek ve kar elde etmektir. Onların bu gibi sorunlar için, çok fazla zaman, para ve diğer kaynakları harcamaları mümkün olmamaktadır. Bu nedenle birçok dezavantajı olmasına rağmen, imza-tabanlı antivirüs ürününün var olmaya devam edeceği belirtilmektedir. Bu durumun ağ taĢıyıcıları ve ĠSS’ler için de doğru olduğu ifade edilmektedir. Örneğin Çin’de, DDoS saldırısı gerçekleĢtiğinde kendi kendine koruma yeteneklerinin yeterli olmayıĢından dolayı ĠSS’ler, iĢlettikleri omurgayı etkilenmekten korumak için Ġnternet üzerinden DDoS saldırısına maruz kalan müĢterilerinin genellikle bağlantısını kesmeyi tercih etmektedirler. Sonucun ise kabul edilemez olduğu ifade edilmekte, çünkü bu durumun, saldırganların hedefteki kullanıcıların Ġnternet bağlantısını kesme isteklerinin gerçekleĢmesine dolaylı olarak yardımcı olduğu belirtilmektedir. Saldırganların KBA teknolojisini geliĢtirmek için güçlü motivasyona sahip oldukları, siber dünyada kendilerini kısıtlayan bir durumun ve sınırlarının olmadığı, saldırganları kısıtlayan çok az sayıda kanunun bulunduğu ifade edilmektedir. Bütün bu faktörler KBA’nın ve yer altı ekonomisinin hızlı geliĢmesini sağlamaktadır. Diğer taraftan beyaz Ģapkalı korsanların, üstesinden gelmeleri gereken birçok engel bulunmaktadır. ĠĢ dünyası için, güvenlik alanına yatırım yapma (teknik araĢtırma 82 yapmayı ve güvenlik ürünlerini satın almayı içerir) ile ekonomik kazanç arasında bir denge kurmanın gerçekten zor bir problem olduğu belirtilmektedir. 6.2.2.3 Bireysel kullanıcıların karĢılaĢtığı zorluklar143 Ġnternet o kadar hızlı bir Ģekilde geliĢmektedir ki kullanıcılarının sayısı her yıl belirgin bir Ģekilde özellikle de hızlı geliĢen ülkelerde artmaya devam etmektedir. Siber dünyada güvenlik kavramının gerçek dünyadakinden biraz farklı olmasından dolayı, her Ġnternet kullanıcısının, Ġnterneti temel olarak anlayacakları ve kendilerini nasıl koruyacakları konusunda eğitilmesinin bir ihtiyaç olduğu düĢünülmektedir. Farkındalığın artmasının, Ġnternetin ve ona bağlı uygulamaların geliĢimindeki hızlı artıĢ seviyesinde olmadığı ifade edilmektedir. Bunun iki temel açıdan kanıtlanabileceği belirtilmektedir: 1. Programcılar yeteri kadar güvenli programlama farkındalığına ve becerilerine sahip değildir. Bu durum doğrudan, farklı uygulama ve bilgi sistemlerinde dağıtık olarak bulunan yazılım açıklıklarına yol açmaktadır. Bu ise saldırganların KBA oluĢturmak için sömürme iĢlemlerini kolaylaĢtırmaktadır. 2. Kullanıcılar temel güvenlik farkındalığından ve korunma becerilerinden yoksundurlar. Açıklığı bulunan uygulamalarla sosyal mühendisliğin kurbanı olmak çok kolay olabilmektedir. Böylece saldırganların, açıklığa sahip çok sayıda bilgisayar bulmaları oldukça kolaylaĢmaktadır. Bu iki nedenden dolayı mevcut siber uzayın saldırganlar için gerçekten vaat edilmiĢ bir alan olduğu, güvenlik çalıĢanları ve çoğunun bu durumun farkında bile olmadığı, genel Ġnternet kullanıcıları içinse bir sorun kaynağı olduğu belirtilmektedir. Hızlı yayılma ve karmaĢık tekniklere rağmen, siber dünyayı korumanın en büyük riskinin kullanıcı hataları olduğu ifade edilmektedir. ÇalıĢma yerlerindeki güvenlik politikaları ve prosedürler veya evdeki ilave güvenlik kontrolleri, davetsiz misafirlerin bilgisayarları ele geçirme imkânlarını azaltmamaktadır. Etkin ve sağlam bir güvenlik 143 APEC, a.g.e., s. 37-38 83 ortamında insan faktörü kritik bir öneme sahiptir. Kullanıcıları güvenlik konusunda olumlu bir Ģekilde etkileyecek olan Ġnternet kullanıcılarının farkındalığını arttırma yönündeki herhangi bir giriĢimin veya çalıĢmanın, siber tehditlerle mücadelede özellikle de uzun vadede önemli bir etkisinin olacağı vurgulanmaktadır. Ġnternet kullanıcılarının eğitilmesinin uzun süreli çalıĢma ve çaba gerektiren bir iĢ olduğu ifade edilmektedir. Bu yüzden en az geliĢmiĢ bölgeler için bu konuda yeterli gayretin gösterilmediği belirtilmektedir. GeliĢmiĢ ülkelerdeki durumun ise çok daha iyi olduğu ifade edilmektedir. Farklı Ġnternet kullanıcıları özelleĢtirilmiĢ farklı eğitimlere ihtiyaç duymaktadır. BT güvenliği çalıĢanları, programcılar ve genel ev kullanıcıları için ihtiyaç duyulan bilgiler büyük oranda farklılık arz etmektedir. Çabaları en üst düzeye çıkarmak ve tüm Ġnternet ortamını iyileĢtirmek için, bütün son kullanıcı gruplarının düĢünülmesi ve düzgün bir Ģekilde eğitilmesi gerekmektedir. Her ekonomide bunun birçok örneği bulunmaktadır. Ancak, siber güvenlik kültürü henüz oluĢmamıĢtır. Yapılan bütün çalıĢmaların genellikle yerel kapsamlı veya çok kısa süreli olduğu belirtilmektedir. Dolayısıyla sorun, herkese uyan tam bir siber güvenlik kültürünün nasıl oluĢturulacağı olarak ifade edilmektedir. 6.2.3 Politika ve teknoloji rehberi144 KBA’nın, karmaĢık ve organize ağ saldırıları ve diğer geleneksel ağ saldırıları için bir platform olduğu belirtilmektedir. Günümüzde KBA’nın, evrensel Ġnternet güvenliği için ciddi bir tehdit olmaya baĢladığı ve devletlerin kurumlarına ve altyapılarına büyük zarar verdiği ifade edilmektedir. Dünyadaki bütün ülkelerin KBA’nın geliĢimini dikkatli bir Ģekilde izlemeye baĢladıkları belirtilmektedir. Bu bölümde devlet, özel sektör ve bireysel kullanıcılar perspektifinden KBA ile mücadele stratejileri konu edilmektedir. 144 APEC, a.g.e., s. 39 84 6.2.3.1 Devlet için politika ve teknoloji rehberi145 Evrensel ağ güvenliği problemlerinin aĢılması için, bir ülkeye, Ģirkete veya teknolojiye güvenmenin doğru olmayacağı ifade edilmektedir. Bunun devleti, iĢ dünyasını, bireysel kullanıcıları ve uluslararası iĢbirliğini ilgilendiren ve tüm tarafların ortak çabasını gerektiren bir konu olduğu belirtilmektedir. Devletin ağı korumak ve yönetmek için tam sorumluluk alması, servis sağlayıcıların ağ güvenliğini sağlamak için sorumluluk taĢımaları ve bireysel kullanıcıların ağ normlarını bilinçli bir Ģekilde kabul etmesi gerekmektedir. Ayrıca ilgili uluslararası organizasyonların uluslararası istiĢare toplantıları düzenlemeleri ve evrensel ağın kurallarını ve sorumluluklarını oluĢturmaları gerekmektedir. Tüm tarafların üzerlerine düĢen sorumluluğu almaları durumunda evrensel ağın güvenliğinin arttırılabileceği ifade edilmektedir. KBA, bir devletin altyapısına ciddi bir Ģekilde hasar verebilmekte ve omurga ağlarda yol açtığı trafik ĠSS’lerin temel düğümlerini devre dıĢı bırakabilmektedir. Ayrıca bir KBA kamu kurumlarının makinelerini ele geçirebilmekte, bu makinelere bot programı yükleyebilmekte, devlet sırlarını çalabilmekte, çevrim içi yapılan seçimleri değiĢtirebilmekte ve büyük ekonomik ve politik kazançlar elde edebilmektedir. Devletin makro ekonomisini oluĢturanlar olarak hükümetlerin, KBA konusuna yeterli önemi vermeleri, ilgili yöneticileri eğitmeleri, KBA tarafından gerçekleĢtirilen kötücül faaliyetlere darbe vurmak için ilgili kanunları ve düzenlemeleri formüle etmeleri gerektiği belirtilmektedir. Buna paralel olarak hükümetin KBA tehlikesini geniĢ kitlelere yayması, bütün toplumu KBAile savaĢmaya çağırması gerektiği ifade edilmektedir. Ayrıca güvenlik düzeyi koruma sistemi kurulması, ağ sisteminin önemine göre ağın güvenlik seviyesinin etiketlenmesi ve ağın güvenlik tabanlı yönetilmesi gerektiği belirtilmektedir. Ġlgili kurumların risk değerlendirmesi yapmaları, felaket yedeklemesini ve kurtarma mekanizmasını kullanmaları tavsiye edilmektedir. Bu Ģekilde, ağların açıklıklarının ve güvenlik tehditlerinin anlaĢılacağı ve dolayısıyla da ağ güvenliğinin daha çok geliĢtirileceği ifade edilmektedir. 145 APEC, a.g.e., s. 39-40 85 KBA güvenlik olayları ile etkin bir Ģekilde baĢ edilebilmesi amacıyla, tespit ve izleme için uzun vadeli bir mekanizmanın kurulması gerekmektedir. Bu mekanizmanın teknoloji platformunun, ulusal emniyeti ve güvenliğinin sağlanmasını da kapsaması gerektiği belirtilmektedir. Büyük ağ güvenliği olayları meydana geldiğinde, platformun izleme ve acil durum kontrol yeteneklerinin yüksek düzeyde olması gerekmektedir. Ġlave olarak, ağ güvenliği olayları acil koordinasyon merkezinin kurulması ve geliĢtirilmesi önem arz etmektedir. Yakın iĢbirliğinin sağlanabilmesi, büyük ağ güvenliği olaylarının analizinin yapılması ve olayın bertaraf edilmesi amacıyla koordinasyon mekanizmasının kurulması için her birimin kendi teknolojisinin, mevzuatının ve bilgi birikiminin avantajlarını kullanması gerekmektedir. a) Ġlgili yöneticilerin ve düzenleyicilerin eğitimi146 Bilgi güvenliğinin geliĢmesi sadece ağ güvenliği teknolojisinin geliĢmesine bağlı değildir. OlgunlaĢmıĢ bilgi güvenliği yönetimine ve diğer teknik olmayan yönlere de bağlıdır. Bundan dolayı bilgi güvenliği uzmanlarının ve bilgi güvenliği sistemlerini kullanan diğer ilgili kiĢilerin eğitilmesine ihtiyaç duyulmaktadır. Zorunlu bilgi güvenliği eğitiminin, e-devlet ve e-ticaretin teĢviki için ve aynı zamanda bilgi altyapısının ekonomik değere dönüĢtürülmesi için bir temel olduğu belirtilmektedir. ABD’nin bu çalıĢmalara 1987’lerde baĢladığı, bilgisayar güvenliği kanun tasarısını belirlediği, hassas bilgileri içeren bilgisayarları yöneten, kullanan ve iĢleten personelin zorunlu olarak periyodik eğitim aldıkları ifade edilmektedir. Ayrıca yeni kamu görevlilerinin 60 gün içinde bilgi güvenliği eğitimini almalarını gerektiren mevzuatın yürürlüğe alındığı belirtilmektedir. ABD’de eğitim sektörünün sadece Microsoft, CISCO, Checkpoint gibi Ģirketler tarafından sağlanan ürünlerin iĢ eğitimlerinden oluĢmadığı aynı zamanda SANS tarafından verilen CISSP, GIAC gibi ürün bağımsız bazı bilgi güvenliği eğitimlerinin de olduğu ifade edilmektedir. Mevcuttaki baĢlıca bilgi güvenliği eğitiminin güvenlik ihtiyacına göre farklı seviyelerde özelleĢtirildiği belirtilmektedir. Eğitim kurslarının; Genel güvenlik farkındalığı, 146 APEC, a.g.e., s. 40-42 86 Belirli saldırı ve savunma operasyonları güvenliği, Üst seviye yönetim ve Diğer bilgi güvenliği bilgi ve becerileri açılarından farklı Ģekillerde tasarlandığı ifade edilmektedir. Bilgi güvenliği eğitimlerinin belirli periyorlarla tekrarlanması bireyleri güncel tutacaktır (ġekil 6.1). Eğitimin etkili bir bilgi güvenliği koruması için uygulama anahtarı olarak kiĢiyi geliĢtirdiği vurgulanmaktadır. ġekil 6.1 : Bilgi güvenliği eğitim sistemi Genel olarak, farklı amaçlara göre eğitim dört sınıfa ayrılmaktadır: temel güvenlik bilinçlendirme eğitimi, güvenlik becerileri eğitiminin teknik yönleri, bilgi güvenliği yönetimi eğitiminin yönetim seviyeleri, sertifikasyon ve özel eğitim. Her seviyenin temel kursları Tablo 6.2’de verilmektedir. Tablo 6.2 : Bilgi güvenliği eğitim kursları 87 Eğitim Eğitimin içeriği Güvenlik bilinçlendirme Güvenlik bilinçlendirme eğitimi eğitimi Bilgi güvenliği teknolojisinin temelleri, Windows Güvenlik teknolojisi eğitimi iĢletim sisteminde güvenlik; Unix iĢletim sisteminde güvenlik; Cisco ağ güvenlik konfigürasyon yönetimi; korsan saldırıları ve koruma teknolojisi Bilgi güvenliği yönetimi, risk yönetimi ve risk Güvenlik yönetimi değerlendirmesi ve strateji planlama; iĢ sürekliliği eğitimi yönetiminin iĢletilmesi, bilgi güvenliği yönetim sisteminin uygulaması CISSP sertifikasyon test danıĢmanlığı; Yeterlik eğitimi sertifikasyon eğitimi tabanlı (ITIL) BT hizmet yönetimi Güvenlik bilinçlendirme eğitimi: KuruluĢların teknik olmayan, bilgi sisteminin tüm kullanıcılarına ve genel personeline yönelik olan bir eğitimdir. Bu eğitimin amacı, organizasyon personelinin oluĢturulan güvenlik politikasını tam olarak anlaması ve etkin bir Ģekilde yürütmesi için genel güvenlik farkındalığını ve kiĢisel güvenliği arttırmak olarak tarif edilmektedir. Güvenlik teknolojisi eğitimi: KuruluĢun ağ ve sistem yöneticilerine, güvenlik uzmanlarına, teknoloji geliĢtiricilerine yönelik olan bu eğitim, temel saldırı ve savunma güvenlik teknolojilerinin öğretilmesini amaçlamaktadır. Bu Ģekilde, teknik iĢlemlerin güvenlik seviyesi arttırılmıĢ olmakta bu da güvenlik problemlerinin aĢılmasını ve potansiyel güvenlik sorunlarının ortadan kaldırılmasını sağlamıĢ olmaktadır. Güvenlik yönetimi eğitimi: Organizasyonun yönetim iĢlevlerine ve bilgi sistemlerine, bilgi güvenliği yönetimine yönelik bir eğitimdir. Eğitimin amacı, 88 bilgi güvenliği seviyesinin tüm yönetimini geliĢtirmek ve organizasyonlara etkin bir bilgi güvenliği yönetim sistemi kurmalarına yardımcı olmaktır. Yeterlik eğitimi: Sertifikasyon test danıĢmanlık eğitimi konusunda güvenlikle ilgili uluslararası bilgiler sağlamakta böylece her türlü bilgi güvenliği sertifikasının alınmasına yardımcı olmaktadır. Geleneksel ağ güvenliği olaylarıyla karĢılaĢtırıldığında, KBA çok daha karmaĢık ve ciddi bir ağ güvenliği olayı olarak görülmektedir. KBA’nın çabuk iletim hızı, çeĢitli iletim yolları, iyi gizleme performansı, yüksek teknolojik içeriği, verdiği büyük hasarı endiĢe uyandırmaktadır. Kamu birimleri yeni KBA’ların yeni tehditlerini ele almalı, ilgili kiĢileri eğitmeli, onlara kavramları, çalıĢma mekanizmasını, KBA’yı önleyici tedbirleri öğretmeli ve etkin bir bilgi güvenliği yönetim sistemi kurmaları için organizasyonlara yardım ederek yönetim kabiliyetini geliĢtirmelidir. b) Ġlgili politikaları ve düzenlemeleri çıkarmak ve uygulamak147 Gerçek toplumda, sadece farklı güvenlik koruma sistem seviyeleri değil, aynı zamanda kanun uygulama sisteminin de kurulması gerekmektedir. Benzer bir Ģekilde ağ dünyasında da, ağların ve toplumun düzeni ve güvenliği için güvenilir bir kolluğun kurulmasına ihtiyaç duyulmaktadır. GeçmiĢte Ġnternet suçlarının bilgisayar virüslerini, solucanları, truva atlarını, kötücül yazılımları, casus yazılımları kapsadığı ifade edilmektedir. Günümüzde ise bu durum yavaĢ yavaĢ, karaborsa ağ güvenliğine, pornografik Ġnternet sayfalarına, Ġnternet tarikatlarına, ağ piramit satıĢına, yasadıĢı kredi ağına, ağ kumarına, ağ sahtekârlığına, vergi kaçırmaya ve diğer zararlı ve doğrudan politik, ekonomik, kültürel ve sosyal faaliyetlere ve suç fiillerine dönüĢmektedir. Hâlihazırda Ġnternetin en ciddi tehlikesi KBA bünyesinde bulunan bilgisayarlar tarafından gönderilen istem dıĢı e-postalar ve yine KBA tarafından gerçekleĢtirilen DDoS saldırısı olarak gösterilmektedir. Çin, bilgi güvenliğine iliĢkin bir dizi kanun ve düzenleme oluĢturmuĢtur: 147 APEC, a.g.e., s. 42-45 89 1994 yılında, Ulusal Halk Kongresi “Çin Halk Cumhuriyeti Bilgisayar Bilgi Sistemi Güvenlik Koruma Kuralları ve Düzenlemeleri” ni çıkarmıĢtır. 1997 yılında kamu güvenliği birimleri “Bilgisayar Bilgi Sistemlerinin Ġnternete Güvenli EriĢimlerine ĠliĢkin Mevzuat” ı çıkarmıĢtır. 2000 yılında Güvenlik Bürosu “Bilgisayar Bilgi Düzenlemeleri ve Ġnternet Güvenliği Yönetimi Düzenlemeleri” ni çıkarmıĢtır. “Ġnternet Bilgi Hizmetlerinin Yönetimi için Önlemler” Çin DanıĢtay’ı tarafından 25 Eylül 2000 tarihinde yayımlanmıĢtır. Bu önlemlerin, Ġnternet bilgi hizmetleri faaliyetlerinin düzenlenmesini ve Ġnternet bilgi hizmetlerinin sağlıklı ve düzenli bir Ģekilde geliĢmesini teĢvik etmek amacıyla formüle edildiği ifade edilmektedir. “Ġnternet Elektronik Posta Hizmetleri Ġçin Önlemler” Bilgi Endüstrisi Bakanlığı tarafından 20 ġubat 2006 yılında yayımlanmıĢtır. Bu önlemler, elektronik posta hizmetlerini düzenlemek, kullanıcıların yasal hak ve çıkarlarını korumak için Çin Halk Cumhuriyeti Telekomünikasyon düzenlemelerine ve Ġnternet Bilgi Hizmetlerinin Yönetimine iliĢkin önlemlere uygun olarak formüle edilmiĢtir. Ġstenmeyen Elektronik Posta Yönetmeliği Mayıs 2007 tarihinde yürürlüğe konulmuĢtur. 12 Temmuz 2002 tarihinde Avrupa Birliği, 31 Ekim 2003 tarihinden sonra alıcının izni olmaksızın ticari promosyon amaçlı e-postaların gönderilmesini AB içerisinde yasaklayan “AB gizlilik ve elektronik haberleĢme direktifi” ni kabul etmiĢtir. AB’yi takiben Ġtalya, Ġngiltere, Danimarka, Ġspanya ve diğer AB üyesi ülkeler e-posta hizmetini düzenlemeye ve istem dıĢı e-postayı iç hukukları ile durdurmaya baĢlamıĢlardır. ABD’de Washington’da, istem dıĢı e-posta mevzuatında, istem dıĢı eposta gönderenlere yardımcı olan ĠSS’lerin bu sorumluluğa ortak olacakları belirtilmekte ve ĠSS’lerin kontrollerinde teknik önlemlerini geliĢtirerek yükümlülüklerini yerine getirmeleri istenmektedir. FBI tarafından geliĢtirilmiĢ ve ABD Adalet Bakanlığı tarafından kontrol edilen bir sistem olan “Carnivore” un, ĠSS’in sunucusuna yüklendiği zaman belirlenen kullanıcıların e-postalarını ve ziyaret ettikleri Ġnternet sayfalarını izlemeyi de içerecek Ģekilde hemen hemen bütün faaliyetleri kontrol etmeye imkân sağlayan bir yazılım olduğu ifade edilmektedir. ABD aynı zamanda, bilgisayar suçlarına iliĢkin bir dizi suç 90 yayımlamıĢtır. Bilgisayar suçlarına karĢı önlem almada kanun ve düzenlemelerin oluĢturulmasından ziyade, elektronik delillerin elde edilmesi önem arz etmektedir. Dolayısıyla kolluk birimlerine ve organizasyonlarına, bilgi toplamaları konusunda yardımcı olmak üzere, kurban bilgisayarındaki saldırılara iliĢkin günlük kayıt bilgilerinin ve delillerin zamanında elde edilmesine ihtiyaç duyulmaktadır. Tablo 6.3 : ABD’de siber ortamdaki bazı yasadıĢı davranıĢlar ve ilgili yasal önlemler YasadıĢı DavranıĢ Hizmet aksatma saldırısı (DoS Attacks) Bir Ġnternet sayfasının yerini alma veya onu yönlendirme Yanıltıcı alan adının kullanımı Gasp Ceza Yetkisiz bir bilgisayara eriĢmeyi tasarlayan bir kiĢi, hasar derecesine göre 1 yıldan 10 yıla kadar hapis veya para cezası ile cezalandırılır. Yetkisiz bir bilgisayara eriĢmeyi tasarlayan bir kiĢi, hasar derecesine göre 1 yıldan 10 yıla kadar hapis veya para cezası ile cezalandırılır. Yanıltıcı bir alan adını kullanarak bir kiĢiyi müstehcen veya zararlı bir görüntü ile aldatan kiĢi, para cezası veya 2 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. Yanıltıcı bir alan adını zararlı bilgilerle küçük yaĢtakileri ikna etmek için kullanan kiĢi, para cezası veya 4 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. Gasp amacıyla zarar verebilecek tehditler içeren trafik gönderen kiĢi, para cezasıyla veya 5 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. Gasp amacıyla bir kiĢiyi kaçırma veya ona zarar verme tehditleri gönderen veya kiĢinin mülkiyetine ya da itibarına zarar verme tehditleri gönderen kiĢi, para cezası veya 15 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. 91 Ġnternet Dolandırıcılığı (Müzayede dolandırıcılığı veya yemleme) Kredi kartı dolandırıcılığı ġifre dolandırıcılığı Çocuk pornografisi ve ilgili faaliyetler Ġstem dıĢı e-posta Bir bilgisayara, dolandırmak ve değerli bir Ģey elde etmek için eriĢen kiĢi, para cezasıyla veya 5 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. Kimlik belgeleri ve kimlik doğrulama özellikleri ile ilgili olan dolandırıcılık, para cezasıyla veya 2 yıla kadar hapis cezası veya hem para hem hapis cezası ile cezalandırılır. Kimlik hırsızlığının ağırlaĢtırılmıĢ cezası 5 yıldır. Kablo üzerinden yapılan dolandırıcılık, para cezasıyla veya 20 yıla kadar hapis cezası ile cezalandırılır. Eğer olay finansal kurumları etkileyen bir dolandırıcılık ise, 1 milyon dolardan fazla olmayan bir para cezasıyla veya 30 yıldan fazla olmayan hapis cezasıyla veya her ikisiyle cezalandırılır. Yargılamada yanlıĢ beyanda bulunan kiĢi, para cezası veya 5 yıla kadar hapis cezası veya her ikisiyle cezalandırılır. Finansal kurumlardan, tüketici kredi kartı düzenleyenlerden veya ajan bilgisayarından kredi kartı bilgilerine eriĢen kiĢi, para cezasıyla veya 10 yıla kadar hapis cezasıyla veya her ikisiyle cezalandırılır. Bilgisayar Ģifrelerindeki kaçakçılık olayları, para cezasıyla veya 1 yıla kadar hapis cezasıyla veya her ikisiyle cezalandırılır. Çocuklar arasında cinsel propaganda yapmak, para cezası veya 4 yıla kadar hapis cezası veya her ikisiyle cezalandırılır. Sonuçlarına göre suç fiilleri, para cezasıyla veya 1-5 yıl arası hapis cezasıyla veya her ikisiyle cezalandırılır. Suç Ģebekelerinin sınırları aĢan bir yapıya sahip oldukları görülmekte ve dolayısıyla yabancı suçluların iade edilmesinin veya teslim edilmesinin de dikkate alınması gerekmektedir. DDoS ve istem dıĢı e-postaya karĢı kanun ve düzenlemelerin yapıldığı ancak hala KBA için özel bir mevzuatın olmadığı görülmektedir. Ġstem dıĢı e-posta, DDoS 92 saldırılarının ve diğer suçların geçtiği yasa uygulayıcıların dikkatinden KBA kaçmıĢ gibi görünmektedir. Bu suç olaylarını durdurmak için öncelikle KBA’nın imha edilmesi gerektiği ifade edilmektedir. Bu noktanın anlaĢılmasıyla KBA karĢıtı kanunun en kısa sürede çıkarılacağına inanılmaktadır. c) Bilgi paylaĢımı ve teknik destek için bir platform oluĢturulması148 Eski ağ acil durum organizasyonlarının amacı, kullanıcıların kayıplarını azaltmak için güvenlik olaylarına ve saldırılara yanıt vermek olmuĢtur. Fakat Ġnternetin kendi teknik karakteristiğinden ve bu acil durum organizasyonların kolluk birimi olmamalarından dolayı, bu yasadıĢı suç olaylarına sürekli yol verdikleri ve olayın arkasındaki saldırganları yakalayıp adalete teslim edemedikleri ifade edilmektedir. Bu yüzden, acil durum organizasyonu kolluk birimleri ile iĢbirliği yapmaya teĢvik edilerek bu avantajları kullanılmalıdır. Bilgi paylaĢımı ve teknik destek için uluslararası bir platformun kurulmasının KBA ile olduğu gibi diğer siber suçlarla baĢa çıkmada da etkili bir yol olduğu ifade edilmektedir. Bilgi paylaĢımı sırasında paylaĢılan bilgilere üçüncü tarafların eriĢememelerini sağlamak üzere, ilgili taraflar arasında bir güven ve itibar mekanizmasının müzakere edilmesi ve sayısal imza ve veri Ģifreleme metotlarının kullanılması gerekmektedir. d) Halk eğitimleri düzenlemek149 Ġnternet dünyanın her köĢesine nüfuz ettiği için insanlar kolayca bilgiye eriĢebilmekte, alıĢ-veriĢ ve e-ticaret iĢlemleri yapabilmektedir. Ancak birçok kiĢinin Ġnternet aracılığıyla dolandırıcılık, hırsızlık ve yazılım korsanlığı, diğer kiĢilerin bilgisayarlarına zarar verme ve değerli bilgileri çalma gibi bazı yasadıĢı faaliyetler gerçekleĢtirmesi de üzüntü verici bir durum olarak belirtilmektedir. Ağ güvenliği bilgisini halka benimsetme, eğitim ve kamuyu bilinçlendirme ile devletlerin sağlıklı ve güvenli ağlar oluĢturmaya baĢlamaları gerektiği ifade edilmektedir. KiĢilere, sistem yamalarını zamanında yükleme, güvenli bir Ġnternet gezgini seçme, antivirüs yazılımı yükleme gibi bazı temel bilgilerin öğretilmesi gerekmektedir. 148 APEC, a.g.e., s. 46 149 y.a.g.e. 93 Bot programlarının yayılmasını kontrol etmek için, halkın KBA konusundaki farkındalığını arttırmanın en temel nokta olduğu ifade edilmektedir. Halkın, Ģüpheli faaliyetler konusunda yapılan uyarıların ve güvenli bilgisayar uygulamalarını öğrenmenin önemini kavraması faaliyetlerin birçoğunun, gerekmektedir. amacına ulaĢmak Çünkü için çeĢitli Ġnternetteki sosyal kötücül mühendislik çalıĢmalarını kullandığı, eğitilen kullanıcıların aldanmalarının saldırganlara daha yüksek maliyetler getireceği ifade edilmektedir. Buradan hareketle devletin, televizyon programları, reklamlar gibi yollarla halkın bu konuda eğitilmesi için sorumluluk üstlenmesi gerekmektedir. e) Sınır ötesi iĢbirliğinin teĢvik edilmesi150 Bilgi güvenliğinin yeni tarihsel koĢullarda geleneksel bir güvenlik sorunu olmadığı, korsanların bilgi güvenliği alanındaki ortak suçlular olduğu ifade edilmektedir. Korsan saldırısı çeĢitli metotları olan ve iyi gizlenen uluslararası bir konudur. Bazı saldırılar kaos oluĢturmayı amaçlamaktadır. Siber suçla etkili bir mücadele için sınır ötesi iĢbirliğinin teĢvik edilmesi gerekmektedir. Küresel olarak ağ bilgi güvenliğinin sağlanması için; Öncelikle ülkeler arasındaki Ģüphe ve önyargıların terk edilmesi ve karĢılıklı güvenin tesis edilmesi gerektiği, Ġkinci olarak ise, iĢbirliği ve sinerjik soruĢturma mekanizmalarının kurulması, Ġnternet suçlarının birlikte önüne geçilmesi, zamanında bilgi alıĢ veriĢinde bulunulması, büyük ölçekli terörist ağ saldırılarının önlenmesi ve birlikte çalıĢarak saldırganların kaynağının tespit edilmesi gerektiği Üçüncü olarak, teknoloji etkileĢiminin ve personel değiĢiminin güçlendirilmesi ve siber suçla mücadele etkinliğinin arttırılması gerektiği ifade edilmektedir. KBA’yı kontrol edenler genellikle, geniĢ ölçüde yayılmıĢ olan K&K sunucularının bulunduğu ülkelerden farklı ülkelerdeki bilgisayarları tercih etmektedir. Dolayısıyla KBA ile mücadele etmek derinlemesine bir uluslararası iĢbirliği gerektirmektedir. 150 APEC, a.g.e., s. 46-47 94 Güçlü bir uluslararası iĢbirliğine itimat edilmesi, tecrübelerin paylaĢılması ve etkin iĢbirliğinde bulunulması gerekmektedir. Böylece KBA’nın yol açtığı zararların azaltılabileceği ifade edilmektedir. Daha çok iĢbirliğinin uluslararası güvenli ağ kapasitesini daha çok arttıracağı belirtilmektedir. 6.2.3.2 Özel sektör için politika ve teknoloji rehberi151 E-ticaret ve çevrimiçi iĢlemler iĢ dünyasının parçası haline gelmiĢtir. Giderek artan sayıdaki Ģirketlerin, gizli ağ güvenlik problemleri bulunmakta ve bu problemler korsanlar tarafından sömürülmektedir. ġirketin temel ticari bilgileri ve gizli iĢ bilgileri çalındığında Ģirketin büyük kayıplar yaĢayacağı belirtilmektedir. Aynı zamanda, Ġnternet bankacılığı ile ilgili dolandırıcılıklar her yıl artmaktadır. Perakendecilerin veritabanlarına yapılan saldırılar ve kredi kartı hırsızlığı gibi suç olayları önemli oranda artıĢ göstermektedir. Birçok Ģirket KBA tarafından gerçekleĢtirilen DDoS saldırılarına maruz kalmakta ve karlılık, verimlilik ve müĢteri güveni kaybı yaĢamaktadır. ĠĢletmeler üç kategoriye ayrılmaktadır: ĠSS’ler, Ağ güvenliği Ģirketleri ve Sıradan iĢletmeler. Bunların farklı seviyelerde oldukları ve farklı teknik Ģartlara sahip oldukları belirtilmekte, dolayısıyla bunların KBA’ya karĢı uygulamaları gereken stratejileri detaylı bir Ģekilde ayrı ayrı açıklanmaktadır. a) ĠSS’ler için yaklaĢımlar a.1 Güvenlik savunma sistemi152 Bütün ağ güvenlik sorunlarını aĢacak bir güvenlik ürünü bulunmamaktadır. Bu yüzden ĠSS’nin artan güvenlik sorunlarıyla baĢa çıkabilmek için kendi güvenlik savunma sistemini geliĢtirmesi gerekmektedir. 151 APEC, a.g.e., s. 47 152 APEC, a.g.e., s. 47-48 95 Güvenlik savunma sistemi geliĢtirmek için ĠSS’nin uyması gereken prensipler: sistemin bütünlüğü, giriĢ ve gelir arasındaki denge, ve insanlar tarafından göz ardı edilemeyen faktörler olarak sıralanmaktadır. Bu faktörler aĢağıda sıralanmaktadır. 1. 7/24 tam bir ağ izleme sisteminin kurulması, 2. Çok katmanlı filtreler ve kısıtlamalar uygulamak, 3. Temel ağ ekipmanlarının güvenlik konfigürasyonlarının güçlendirilmesi ve yöneticinin güvenlik düzeyinin arttırılması, 4. Ağ güvenliğinin dinamik durumuyla ilgilenmek ve ağ güvenliği yöneticilerini eğitmek. KiĢiye özel uyarlanabilir ve taĢınabilir bir güvenlik savunma sisteminin kurulması önerilmektedir. Uyarlanabilir olması, çeĢitli ağ güvenliği olaylarına hızlı cevap verebilmesi, kiĢiye özel olması güvenlik stratejilerinin kurumun ihtiyaçlarına göre istendiğinde değiĢtirilebilmesini ifade etmektedir. 24 saat çalıĢan bir izleme sistemi kurularak cihazlardaki ve iletim hatlarındaki kesintiler otomatik olarak takip edilebilmektedir. IP tabanlı metropol alan ağları (MAN) oluĢturularak DoS saldırılarıyla ve solucanlarla baĢa çıkılabilmektedir. Ürün üreticileriyle aktif iĢbirliğinin istem dıĢı e-posta sorununu çözeceği ifade edilmektedir. a.2 Bilgi paylaĢımı ve KBA ile mücadele153 Bütün ĠSS’lerin ve diğer Ģirketlerin ortak bir ağ Ģirketi gibi görülerek, bot programı bilgilerinin ünlü güvenlik Ģirketleri ile paylaĢılması ve bu bilgilerin güvenlik Ģirketlerinin kendi iç bilgileri ile harmanlanarak düzenlenmesi önerilmektedir. Sistem, oluĢturulan bu bilgiler ıĢığında Ġnternet trafik günlüğünü tuttuğu veya e-posta gönderdiği zaman KB’leri tespit edebilmekte ve ağ eriĢim kontrol teknolojisini kullanarak sistemi ayrı bir alt ağda izole edebilmektedir. Bu durumda aynı problemi dikkate alması için kullanıcı da uyarılmaktadır. Güvenliği sağlamak üzere Ġnternet trafiğinin günlük kayıtlarının tutulabilmesi için, kullanıcıların bilgisayarlarının düzeltilmesi amacıyla ağ çeĢitli kaynaklar 153 sunmaktadır ya da kullanıcılardan bazı araçları indirmeleri APEC, a.g.e., s. 48-49 96 istenebilmektedir. Ağ, kullanıcılara iĢletim sistemlerini güncellemeleri için uyarıda bulunabilmektedir. ĠSS’ler kendi ağlarını temizlemek için doğru araçları kullanıyor olsalar bile bu durumlara KBA’nın yol açmıĢ olabileceğinden Ģüphelenerek aĢağıda sıralanan faaliyetleri izleyebilmek için kullanıcılarına da kapılarını kapatabilmektedirler. Bu faaliyetler farklı ağlara, farklı sistemlere ve farklı veri akıĢlarına göre değiĢiklikler gösterebilmektedir. 1. IRC sunucusunun veya IRC veri akıĢının varsayılan portu olan TCP 6667 portundan akan yetkisiz veri trafiği. 2. IRC veri akıĢı kiĢiler tarafından oluĢturulmamıĢ sohbet bilgileri içermektedir. Normal IRC veri akıĢı iki kiĢi arasındaki diyalog gibi görünmekte ve açık kod, sistem ID’si ve yapısal mesajlar içermektedir. 3. Sistemler arasındaki usulsüz iletiĢim. UDP akıĢı veya ICMP veri akıĢı bir KBA’nın saldırdığını gösterebilmektedir. 4. Sistemin rehin alınmaya çalıĢılması bir KBA’nın kurulmaya çalıĢıldığı anlamına gelmektedir. 5. Yüksek miktardaki yasal bir veri akıĢı bir KBA saldırısı olmayabilir. 6. Tesadüfen yüksek miktarda veri akıĢ trafiği görüldüğünde anormal sistem davranıĢlarının gözlemlenmesi önerilmektedir. KBA veri akıĢı tespit edildiğinde, saldırının zararlarını azaltmak için ĠSS’ler KB’lere olan bütün eriĢimleri kesmektedirler. Bu yolla, ĠSS’ler kendi omurga ağlarını DDoS saldırılarına karĢı baĢarılı bir Ģekilde korumaktadırlar. Ancak, bu yaklaĢımın etkisi DDoS saldırısından daha kötü olabilmektedir. “ĠSS’nin sunduğu güvenlik hizmetleri” uygulama Ģeklinin halka benimsetilmesi önerilmektedir. Ġnternet üzerinde görülen tehditlerin sayısının artmasıyla birçok büyük ĠSS’nin (AOL, Earthlink ve PeoplePC), müĢterilerine güvenlik yazılımları sunmaya baĢladıkları ifade edilmektedir. Bu yazılımların genellikle yerli araçlardan oluĢan ve ilave özel prosedürlerin bulunmadığı paketler olduğu belirtilmektedir. Örneğin AOL güvenlik ve sigorta merkezi, kendisine ait reklam-koruma, ebeveyn kontrolleri, açılır pencere engelleme, yemleme karĢıtı araçlar ve güvenlik duvarı, antivirüs, casus karĢıtı yazılımları McAfee yazılım paketinde birleĢtirerek müĢterilerine sunmaktadır. AOL’nin güvenlik yönetimine yardımcı olmak için kullandığı diğer bir çözüm, çeĢitli Ġnternet tehditlerini sunucularında durdurmak ve müĢterilerin bu sunuculara eriĢimini engellemektir. 97 a.3 KBA’nın TRW ile tespit edilmesi154 Threshold Random Walk, TRW TRW, paket seviyesinde tasarlanmıĢ ve kenar yönlendiricilerin giriĢ veya çıkıĢ taraflarında konumlandırılmıĢ bir tespit metodudur. Genellikle Oracle ile birlikte kullanılmakta ve dâhili ağdaki eriĢilebilir bilgisayarları ve sunucuları bilebilmektedir. Bir hedefin IP adresi belirlenen akıĢ ile veritabanında var ise bunun tehlikesiz bir durum olduğu ifade edilmektedir. Ancak, eğer hedefin IP adresi veritabanında yok ise ve akıĢ ACK (Acknowledgement) bitine değer atamıyorsa bu bilgisayarın tarama yaptığı düĢünülmektedir. Değer atanmamıĢ ACK biti, kaynak ve hedef arasındaki haberleĢmenin henüz kurulmadığını göstermektedir. Aksi takdirde bu hedefin var olduğuna ve kaynak adresin tehlikesiz olduğuna inanılmaktadır. Dolayısıyla yanlıĢ adres tehlikesiz olmaktan ziyade tarayıcı olarak iĢaretlenmektedir. Aynı kaynak adresten toplanan 21 çeşit bilginin karakteristiği Bu iĢlem, trafik verisini aĢamalı ve sürekli olarak ele alabilecek bir tarama ve tespit metodudur. Çok boyutlu, esnek ve aynı kaynak adresten elde edilen 21 çeĢit verinin karakteristiği üzerine analiz yapmaya dayanan bir yöntemdir. Tarama göstergelerini kapsamlı bir Ģekilde toplamakta, her bir göstergenin istatistikî analiz değerlerine göre bazılarını silip silmemeye karar vermektedir. Ġlk olarak, kullanıcının atadığı zaman aralığına göre (10 dakika, 1 saat, 1 gün gibi) veri akıĢı ile ilgilenmektedir. Ġlk adım verinin dağıtılmasıdır. Ġkinci adım (çekirdek), her olaydaki tarama faaliyetlerinin ihtimalini değerlendirmektir. Sadece olayın ihtimalinin kullanıcının atadığı minimum değere eĢit olması durumunda gerçek bir test uygulamaktadır. 154 APEC, a.g.e., s. 49-50 98 a.4 DNS ile KBA tespiti155 KB iĢlemlerinin tespit edilmesi için DNS sisteminin bir saldırı tespit sistemi olarak kullanılması bazı uzmanlar tarafından önerilmektedir. Bu metot DNS veri toplama ve verilerin analizi olmak üzere iki aĢamaya ayrılmaktadır. DNS verisi toplamak için iki yol bulunmaktadır: ilki, DNS sunucusu üzerinde günlük kayıtlarının tutulması ve kaydedilmesi Ģeklindedir. Ancak eğer istemci yerel DNS’i kullanmıyorsa bu Ģekilde veri toplanması mümkün olmamaktadır. Diğer bir metot ise, ağ trafiğinden DNS trafiğinin filtrelenerek ayrıĢtırılması ve veritabanına kaydedilmesi Ģeklindedir. Bu durumda istemci yerel DNS’i kullansa da kullanmasa da veriler toplanabilmektedir. Verilerin analiz edilme türleri; bilinen zararlı alan adlarının sorgulanması, kötücül yazılımdan etkilenmiĢ bilgisayarların sorgularının izlenmesi, sıra dıĢı sorgular (yeni alan adları için), alan adı analizinin zaman farkı, yaygın olarak kullanılmayan sorgular (MX / AXFR) ve benzeri Ģeklinde olabilmektedir. KBA, sistemin sağlamlığını ve eriĢilebilirliğini arttırmak amacıyla K&K sunucularını dinamik DNS kullanarak konumlandırma eğilimindedir. DNS kullanılarak ön tespit teknolojisinden faydalanılması önerilmektedir. Fakat bu yöntem KBA tarafından kullanılan alan adları bilgisini elde etme imkânını vermemektedir. DNS trafik verilerinin analizinde veri madenciliği metodunun kullanılması ve bu Ģekilde KBA’nın faaliyetlerinin tespit edilmesi de öneriler arasında yer almaktadır. Az miktardaki ön bilginin kullanılmasıyla elde edilen veri kümesi ile bir DNS sorgusunun normal bir faaliyetten mi yoksa kötücül bir faaliyetten mi kaynaklandığının belirlenmesinin genellikle zor olduğu ifade edilmektedir. Çünkü DNS trafiği sınırlı miktarda bilgi taĢımaktadır. Bu yüzden bu bilgilerin yukarıda bahsi geçen veri kümesindeki kayıtlarla RIPPER algoritması kullanılarak karĢılaĢtırılması ve daha sonra Ģüpheli alan adlarının iĢaretlenmesi gerekmektedir. DNS trafiğinin veri madenciliği ile incelenmesine dayanan KBA tespit metodu, sadece KBA’nın kullandığı alan adlarını değil aynı zamanda az sorgulanan ve özellik karĢılaĢtırması ve istatistikî metotlarla tespit edilemeyen Ģüpheli alan adlarını da tespit etmektedir. 155 APEC, a.g.e., s. 50 99 a.5 Ağ trafiği ile KBA tespiti156 KBA’nın mevcut karakteristiğine göre araĢtırmacılar birçok tespit metodu geliĢtirmiĢtir. Fakat Ġnternette çok gizli saklanan KBA’nın tespit edilebilmesi için KBA’nın K&K gerekmektedir. sunucusunun faaliyetlerinin Daha bu uygulanabileceği sonra belirtilmektedir. karakteristiklerine faaliyetlere KBA’nın göre K&K bir dikkat edilmesi tespit teknolojisinin sunucusunun haberleĢme mekanizmasının ağın bant geniĢliğinin karakteristiklerinden, bağlantının süresinden ve paketlerin zaman sıralamasından tespit edilebileceği ifade edilmektedir. Meanwhile ve Livadas adındaki iki uzman makine öğrenmesine dayanan bir ağ paketlerini tespit metodu geliĢtirmiĢlerdir. Kaiten adında iyi huylu bir bot programı geliĢtirdikleri ve 9 milyar paket, 164 Gbps trafik, orijinal Bayes teoreminin 3 farklı Ģekli, J48 karar ağacını ve ağ bant geniĢliğini, paket süresini ve ortalama paket boyutunu test etmek için Bayes ağını kullanarak simülasyon yaptıkları ifade edilmektedir. Bununla beraber, Witten olarak adlandırılan metodun, sınıflandırma modelini, trafik karakteristik kümesini, öğretme örnek sayısını ve IRC ve IRC olmayan trafiği tanıyabilme özelliklerini iyileĢtirdiği belirtilmektedir. En iyi sonucun %2.49 hatalı uyarı ve %15.04 eksik rapor oranıyla orijinal Bayes sınıflandırmanın olduğu ifade edilmektedir. Daha sonra IRC bağlantıları ve KBA kontrol trafiği IRC trafiğinden elde edilmekte ve sonunda da IRC KBA’sının kontrol karakteristiğine ve periyodik haberleĢmesine bağlı olarak paketlerin tanımlanmasına dayanan KBA topolojisinin tespit edilmesi iĢleminin tamamlandığı anlatılmaktadır. Ancak küçük bir KBA çalıĢmasının sonucu olarak tespit doğruluğunun gerçek ağlara uygulanacak kadar etkili olmadığı ifade edilmektedir. a.6 Bal küpü ağlar ile KBA tespiti ve takibi157 KBA’yı izleme konusunda araĢtırma yapan ilk grubun Alman Balküpü Ağ Grubu olduğu ifade edilmektedir. Bu grubun bu konuda çok fazla araĢtırma yaptığı ve Nepenthes adını koydukları ve büyük ölçekli KB program örneklerini destekleyebilen, düĢük etkileĢim modelinin bal küpü ağ teknolojisini kullanarak bir kötücül yazılım yakalama programı geliĢtirdikleri belirtilmektedir. Dünyada Ģu anda uygulanan birçok 156 APEC, a.g.e., s. 50-51 157 APEC, a.g.e., s. 51 100 bal küpü ağ sisteminin bulunduğu belirtilmektedir. Dağıtık Bal Küpleri projesinin Brezilya Bal Küpü Birliği tarafından iĢletildiği ifade edilmektedir. siber uzaydaki tehditler hakkında geniĢ kapsamlı ve daha detaylı bilgiler elde edebilmek amacıyla düĢük etkileĢimli bal küpü ve yüksek etkileĢimli bal küpü teknolojilerinin birlikte entegre edildiği belirtilmektedir. Avrupa Alarm Bal Küpleri Ağı (European Network of Affine Honeypots - NoAH), Bal Küpü Ağı projesi tarafından iĢletilen Küresel Dağıtık Bal Küpü Ağı (Global Distributed Honeynet - GDH) ve Çin BOME’si tarafından iĢletilen Çin Matris Dağıtık Bal Küpü Ağı bal küpü ağlarına örnekler olarak verilmektedir. Bal küpü ağına dayalı KBA tespit metodunun daha önce bahsedilen metotlarla karĢılaĢtırıldığında eĢsiz avantajlar sağladığı ifade edilmektedir. Çünkü bu yöntemle KBA’nın üreme döneminin tam olarak izlenebildiği, kodlarının kontrol edilerek ve faaliyetlerinin izlenerek KBA’nın karakteristiği ile ilgili çalıĢılabildiği belirtilmektedir. Bu yolla KBA’nın etkin bir Ģekilde incelenmesi için nitelikli bilgiler sağlayan KBA’nın K&K sunucusunun yerinin, yapısının, davranıĢ karakteristiğinin, faaliyetlerinin belirlenebileceği ifade edilmektedir. Ancak saldırganların KBA’yı tespit edilmekten ve izlenmekten korumak için bal küpü karĢıtı metotlar üzerinde çalıĢtıkları ve bunun da bal küpü ağının kendisini çok iyi gizlemesini gerektirdiği ifade edilmektedir. a.7 DNS ve yönlendirici tabanlı kara delik tekniği158 KBA ile etkin bir Ģekilde mücadele etmenin, KBA’nın K&K mekanizmasını yok etmenin veya etkisiz hale getirmenin DNS ve yönlendirme üzerinden gerçekleĢtirilebildiği ifade edilmektedir. Çünkü KBA’nın K&K yapısının desteklenebilmesi için genellikle merkezi bir sunucuya ihtiyaç duyulmaktadır. KBA’yı yönetenler sunucularını genellikle dinamik DNS ile kurmaktadırlar. Böylece KBA tarafından kullanılmıĢ ve KBA’nın yıkılmasına yol açabilecek DNS’ler devre dıĢı bırakılmaktadır. KBA’nın kötücül faaliyetleri Ġnternette genellikle büyük miktarda zararlı trafik (DDoS, istem dıĢı e-posta vb) oluĢturmaktadır. Anromal trafikle ilgilenmenin mevcutta iki yolu bulunmaktadır. Bunlar; 158 APEC, a.g.e., s. 52 101 Kara delik yönlendirme tekniği, Temiz boru tekniği olarak ifade edilmektedir. Bu yöntemlerin esası, BGP yönlendirme kullanılarak atmak, analiz etmek ve paketleri filtrelemek gibi iĢlemler için, trafiğin belirlenen bir düğüme yönlendirilmesine dayanmaktadır. Kara delik yönlendirme tekniğinde trafiğin asıl yönü BGP değiĢiklikleri ile değiĢtirilmekte, trafik boĢ bir düğüme yönlendirilmekte ve burada yok edilmektedir. Temiz boru tekniği, anormal trafiği filtreleyebilmekte yasal trafiği ise geçirmekte ve dolaylı DDoS saldırılarına yol açmamaktadır. Bu metodun ana tekniği kara delik yönlendirme tekniği ile benzerlik göstermekte, farklılık olarak ise temiz boru, anormal trafik filtreleme cihazlarını kullanarak ağ trafiğini yönlendirmektedir. Her iki metodun hem avantajları hem dezavantajları bulunmaktadır. Dezavantaj olarak, ilk yöntemde yönlendirilmiĢ olan eski paketler belirlenememektedir. Dolaylı DDoS saldırısına yol açabilecek olan bütün paketler atılmaktadır. Ġkinci yöntemde ise filtreleme cihazlarının performansı ve saldırıların gerçekleĢmelerinin doğru bir Ģekilde tespit edilmesi kısıtlayıcı gereksinimler olarak görülmektedir. Bu arada, özellikle cihazın birçok eriĢim kontrol listesini (Access Control List - ACL) açması, arabağlantı yapılan cihazları potansiyel olarak etkileyebilmektedir. Trafiğin cihaza defalarca girip çıkması gerektiğinde bunun cihazı kötü etkileyebileceği belirtilmektedir. a.8 Acil durumlara yanıt stratejisi159 Ağ altyapısının temel birimleri gibi, ağ iĢletmecilerinin de kısa sürede etkili önlemler alarak büyük ölçekli KBA saldırılarına zamanında ve doğru bir Ģekilde cevap vermesi ve zararı azaltması gerektiği ifade edilmektedir. AĢağıda bazı öneriler sunulmaktadır:  Olayın ön tipinin belirlenmesi Büyük ölçekli saldırının hedefindeki IP aralığının ve problemin kapsamının belirlenmesi. Bu, saldırının hangi alanlarda etkili olduğunun göstergesi olarak 159 APEC, a.g.e., s. 52-53 102 görülmektedir. Dosyalara ve günlük kayıtlarına iliĢkin eriĢme, oluĢturma, değiĢtirme, silinme veya kopyalanma iĢlemleri, yeni kullanıcı hesabı eklenmesi veya var olan kullanıcının yetkilerinin değiĢtirilmesi genellikle bir saldırının ve diğer olayların iĢaretleri olarak görülmektedir. Kök kullanıcı seviyesinin istila edilmesi durumunda, saldırganın sisteme bir çok alandan girdiğini gösteren iĢaretlerin incelenmesi önerilmektedir. Bazı iĢaretlerin ise hala bulunmamıĢ olabileceği ifade edilmektedir. Ġnternet günlük kayıtlarının kullanılarak; a) Saldırının kaynağının, b) Veri transferi için kullanılan hedef sunucunun bilgisinin, c) Diğer kurbanlara iliĢkin herhangi bir bilginin elde edilebileceği belirtilmektedir.  Önlemlerin alınmasından sonra kaybın değerlendirilmesi Olayın kapsamının belirlenmesinden sonra gelecekte yaĢanabilecek hasarları önlemek amacıyla, DoS saldırılarının önlenmesi için filtre yüklenmesi veya sistemin bir kısmının izole edilmesi gibi bazı somut adımların atılması gerekmektedir. ĠSS’lerin yas dıĢı eylemleri durdurma kararı alabileceği ve bazen de saldırıların kaynağını belirleyebileceği veya bulaĢmanın kapsamını anlayabileceği, böylece ağı kesmek zorunda kalmayacakları ifade edilmektedir. Olaylara verilen ilk yanıtın en az mevcut kurbanların IP adreslerini, ağdaki kötücül veri trafiğini, bütün soketleri ve ilgili uygulamaları ve saldırganların IP adreslerini kaydetmesi gerektiği ifade edilmektedir. Saldırganlardan kaynaklanan veri akıĢının ve ilgili maliyetlerin azaltılması için her adımdaki kayıtların tutulması gerekmektedir. Bu tip bilgilerin, sorumlu taraflardan tazminat istenmesi veya herhangi bir adli soruĢturmada kullanılabileceği ifade edilmektedir.  ġüpheli IP’lerin engellenmesi için ilgili kolluk birimlerinin uyarılması Herhangi bir anda bu olayların bir suç teĢkil edildiğinden endiĢe edilmesi durumunda, derhal kolluk birimlerine baĢvurulması gerekmektedir. ĠSS’lerin ve kolluk birimlerinin 103 elde edilen bilgileri paylaĢmaları gerektiği belirtilmektedir. Kolluk birimlerinin zamanında müdahalesinin, saldırganın yakalanması fırsatını genellikle arttıracağı ifade edilmektedir. Suçluların adalet yoluyla cezalandırılmasının uzun vadede ağ güvenliği konusunda önemli bir rol oynayacağı söylenmektedir. Ağın omurgasında yer alan yönlendiricilerin kara delik yönlendirme teknolojisi ile IP numaralarının engellenmesinin büyük miktarda kötücül ağ verisinin yönünü değiĢtireceği ve ağın bant geniĢliğine soluk aldıracağı veya kötücül ağ faaliyetlerinin DNS kaçırma yöntemiyle DNS sunucu kullanılarak yayılmasının önleneceği belirtilmektedir.  Yedekleme programının uygulanması KBA saldırısının hedefinin ĠSS’nin kendisinin olması durumunda, ağ iĢletmecilerinin ilave bazı önlemler almaları gerekmektedir. Örneğin, Krizlerin ve uzun vadeli ağ hatalarının görülmesi için geliĢmiĢ bir sistemin kurulması, Uluslararası ağ değiĢiminin desteklenmesi için çok kanallı teknolojinin kullanılması, Acil bir durumda haberleĢmenin güvenliğinin sağlanması için ortaklarla görüĢülmesi, Büyük ölçekli ağ afetlerine ve uzun vadeli ağ hatalarına karĢılık vermek için iĢletme kuralları geliĢtirilmesi ve Kriz yönetimi ve ağın geri kurtarılması hakkındaki en son bilgilerin yayımlanacağı bir Ġnternet sayfasının oluĢturulması önerilmektedir. b) Ağ güvenlik üreticileri için yaklaĢımlar160 ĠSS’lere ve kullanıcılara gerçek zamanlı daha iyi bir koruma sağlamak için, WatchGuard, SANS, McAfee's AVERT Labs, Microsoft, FireEye, Symantec, Trend ve diğer güvenlik Ģirketlerinin KBA konusunu ele aldıkları ve bu Ģirketlerden bazılarının KBA koruması için kendi ürünlerini geliĢtirdikleri ifade edilmektedir. Bu Ģirketlerin KBA araĢtırmalarında kullanabilecekleri nispeten daha olgun ağ güvenlik teknolojilerine, 160 APEC, a.g.e., s. 53-54 104 finansal ve insan kaynaklarına sahip oldukları belirtilmektedir. Bunlar KBA ile genelde trafik izleyerek, bal küpü ve saldırı tespit sistemleri kullanarak savaĢmaktadırlar. Aynı zamanda üniversite enstitüleri ile acil durum tepki sistemi ve yüzleĢme teknolojisi konularında iĢbirliği yapmaktadırlar. b.1 Trafiğin izlenmesi161 Tipik IRC portlarından tüm IRC trafiğinin dinlenmesi önerilmektedir. IRC trafiği kendisini genellikle düz metin olarak göstermektedir. Dolayısıyla ağ ara yüzünde IRC komutlarını veya diğer protokollere ait anahtar kelimelerini sezip yakalayabilecek algılayıcıların geliĢtirilebileceği ifade edilmektedir. En çok kullanılan IRC portunun 6667 numaralı port olduğu belirtilmektedir. IRC için RFC’de 6660-7000 arasındaki portlar tanımlanmaktadır. Ġlave olarak, bazı IRC sunucuların daha az yaygın olan 113 numaralı portu kullandıkları ifade edilmektedir. Ancak birçok KBA yöneticisinin standart olmayan portları kullanacağı belirtilmektedir. Herhangi bir kuruluĢta hizmet veren güvenlik duvarının Ģüpheli portlarındaki giden bağlantı denemelerinin incelenmesi önerilmektedir: 1. Bilinen KBA komutları için trafiğinin izlenmesi. Bilinen bir KBA K&K sunucu listesi elde edildiğinde bu hizmetlere doğru giden bağlantı denemelerinin kontrol edilebileceği anlatılmaktadır. 2. Büyük miktardaki giden SMTP trafiğinin incelenmesi önerilmektedir. Özellikle SMTP sunucu olması beklenmeyen makinelerden gelen trafiğe bakılması gerekmektedir. Zira bunların, kendisini kuruluĢtaki ağa yerleĢtirmiĢ olan kötücül bir bot programını iĢaret edebileceği belirtilmektedir. 3. Eğer kuruluĢta bir HTTP vekil sunucusu kullanılmakta ise, kötücül iĢlemler kendilerini vekil sunucuya uğramadan HTTP veri talep ederek açığa vurabilmektedirler. Güvenlik duvarındaki günlük kayıtlarından, 80 inci portun gidiĢ yönündeki bilgilerinin incelenmesi durumunda ikilik tipteki yüklemelerin/indirmelerin yakalanabileceği belirtilmektedir. 4. Bot programlarının davranıĢ karakteristiklerine bakılması. Yapılan bir çalıĢmanın, IRC üzerindeki KB’lerin zamanın büyük bölümünde boĢ durduklarını ve bir komut 161 APEC, a.g.e., s. 54-55 105 aldıkları durumda ise bir insandan çok daha hızlı cevap verebildiklerini gösterdiği ifade edilmektedir. 5. Kötücül yazılım tespiti: a. Antivirüs yazılımı, iĢletim sistemine ve ağ bağlantısına yaptığı değiĢikliklerle kötücül faaliyetlerin karakteristiğini tespit ederek kötücül yazılımları durdurmayı amaçlamaktadır. Karakteristik tespit edildiğinde normal prosedür, kötücül yazılımın karantinaya alınması ve bilgisayar sahibinin veya antivirüs yönetim biriminin uyarılması Ģeklindedir. Bir Ģirket ortamında bu durum sistem yöneticilerinin uyarılmalarına olanak sağlamaktadır. Ancak antivirüs motorları sadece belirlenmiĢ kötücül faaliyetleri tespit edebilmektedir. KBA incelemesinde bir bilgi kaynağı olarak kullanılmak için antivirüs yazılımının faydalarından yararlanmanın ancak bu yazılımların kullanılmasına bağlı olduğu ifade edilmektedir. b. Kötücül yazılım tabanlı bir bal küpünün dahili ağa yerleĢtirilmesi ile, kötücül yazılımların dahili ağdaki makinelerden yayılmalarının tespit edilebileceği belirtilmektedir. c. Açıklığı olan veya sömürülen gözlemlenmesi önerilmektedir. hizmetlerin kullandıkları portların Eğer 135, 139 ve 445 (Windows dosya paylaĢım portu) numaralı portlarda çok fazla trafik görülüyorsa sistemde kendisini yaymaya çalıĢan bir kötücül yazılımın olabileceği ifade edilmektedir. d. Port tarama iĢleminin herhangi bir bulaĢmanın bariz bir belirtisi olduğu ifade edilmektedir. Bunu tespit edebilmek için uygun bir IDS’nin kullanılması ve makinenin incelenmesi önerilmektedir. b.2 IDS’nin kullanılması b.2.1 Genel saldırı tespit sistemleri162 Ağdan toplanan bilgi, yükleme mekanizması ile etkileĢimde bulunmamaktadır. Saldırılar imza tabanlı olmakta ve kötücül faaliyetler ancak sistem tespit edildiğinde tespit edilebilmektedir. Birçok KBA’nın kontrol mekanizması olarak hala IRC 162 APEC, a.g.e., s. 55 106 kullandığı bununla birlikte P2P gibi diğer protokollerin kabul görme sürecinde olduğu ifade edilmektedir. IRC’nin hala hakim protokol olduğu gerçeği göz önünde bulundurulduğunda kontrol komutlarının KBA’nın kontrol trafiği için tetik olarak kullanılması için birçok denemenin yapıldığı belirtilmektedir. IRC protokolü ile kontrol edilen KB’lerin meĢru kullanımlarının da olduğu, insanlar tarafından ağda oluĢturulan meĢru IRC trafiğinin de olduğu ifade edilmektedir. KBA’nın IRC sunucuları için geçici port numaraları kullanmasının ve bazı KBA’ların K&K trafiğini Ģifrelemesinin KBA trafiğini ağdan yakalamayı gittikçe daha da zorlaĢtırdığı ifade edilmektedir. Bu tarz bir geliĢim, yayılma veya saldırı davranıĢını algılama gibi, bot programı bulaĢmasının ikincil özelliklerinin tespit edilebilmesi için pasif algılama mekanizmasını gerektirmektedir. b.2.2 DNS tabanlı saldırı tespit sistemleri163 KBA için umut vadeden bir IDS türü, anormal davranan bilgisayarların ya da sistemlerin bulunması için DNS sorgularını analiz etmektedir. Bu teknik, KBA’nın kontrol sunucusunun IP numarasını bulmak için tipik olarak DNS’i kullanması gerçeğine dayanmaktadır. DNS sayesinde, kontrol sunucusunun hızlıca yeni bilgisayarlara taĢınmasına eski sunucuların ise eriĢim bağlantılarının koparılmasına olanak sağlanmaktadır. DNS tabanlı bir IDS anormal DNS sorgularına bakmakta ve bunların günlük kayıtlarını tutmaktadır. Bu anormallikler, bilinen KBA kontrol sunucuları, anormal popüler sorgular veya istemciler veya SMTP hizmeti vermeyen bir sunucu için yapılan çok sayıdaki MX sorgusu gibi düzenli olmayan sorgular olabilmektedir. Ancak DNS tabanlı IDS’lerin yüksek bir yanlıĢ-olumlu oranına sahip olduğu bu nedenle tehlike arz eden bilgisayarların ve kontrol sunucularının bulunması için NetFlow164 verileri gibi ilave bilgilerin de kullanılması gerektiği ifade edilmektedir. Bireysel kullanıcılar tarafından gerçekleĢtirilmeyen sorgu ve cevapların kaydedildiği durumda pasif DNS’in kullanılabileceği belirtilmektedir. Diğer bir yaklaĢım, pasif bir DNS kopyası yapısının kullanılarak açıktan gizlilik sorunlarına yol açmadan sorguların ve cevapların kayıtlarının tutulması, böylece bireysel kullanıcıların gerçekleĢtirdiği sorgular dıĢındaki sorguların ve cevapların kaydedilmiĢ 163 APEC, a.g.e., s. 55-56 164 NetFlow, CISCO tarafından geliĢtirilen ve üzerinde CISCO iĢletim sistemi koĢan ağ cihazlarında çaıĢan ve IP trafik bilgilerinin toplanması için kullanılan bir protokoldür. 107 olacağı belirtilmektedir. DNS günlük kayıtlarını tutma altyapısının faydaları, bir algılama mekanizmasının bu yaklaĢıma dahil edilmesine kadar bu yapının reaktif davranması olarak açıklanmaktadır. Gizlilik ve güvenlik arasındaki dengenin el ele gitmediği ifade edilmektedir. Eğer direk kontrol altında bulunan çok sayıdaki makine aynı DNS sorgusunu yapıyor ise veya bir anda aynı sunucuya eriĢiyor ise bir problemin olduğundan emin olunabileceği ifade edilmektedir. Benzer olarak DNS önbelleklerinin kontrol edilmesi önerilmektedir. Birçok K&K mekanizmasının bir DNS etki alanı kullanarak, K&K yapısının taĢınmaya ihtiyaç duyulması durumunda bunu kolayca yapabildiği ifade edilmektedir. b.2.3 AkıĢ verisinin tespiti165 KBA bulaĢması hakkındaki bilgilerin bir organizasyon için çoğu kez tek kaynağı, ağ sınırlarını geçen trafikten elde edilen NetFlow verileri olmaktadır. NetFlow, ağdaki bir yönlendiriciden geçen her bir trafik akıĢı için özet veriler içermektedir. NetFlow verilerinin saklanması için kullanılan birkaç farklı format bulunmaktadır. NetFlow’un en son sürümü, 89 farklı alan türünü (veri ile iliĢkilendirilmiĢ MPLS etiketleri, IPv6 adresleri ve Otonom Sistem (Autonom System - AS) numaraları) tanımlayan geniĢletilebilir bir formattadır. Eski sürümlerin, sağladıkları bilgiler açısından çok daha sınırlı olduğu ancak davranıĢ analizi için bunun genellikle yeterli olduğu ifade edilmektedir. Tablo 6.4 : Tipik bir NetFlow kaydında bulunan veri türleri BaĢlama zamanı Hedef adres BitiĢ zamanı Kaynak arayüz Kaynak adres Kaynak port Hedef arayüz Hedef port Protokol TCP bayrakları Paketler Bayt Bu bilgi, belirli bir organizasyon içinde KBA varlığını tespit edebilmek için kullanılabilir. Etkili analizlerin, genellikle teknik ve hukuki nedenlerden dolayı, mümkün olmayan organizasyonlar arası veri akıĢlarının korelâsyonunu gerektireceği ifade edilmektedir. Verinin depolanmasının ya da paylaĢılmasının büyük organizasyonlar için günlük olarak GB larca verinin ilave olarak yedeklenmesi anlamına geleceği ve bunun sorun oluĢturabileceği belirtilmektedir. Ayrıca büyük 165 APEC, a.g.e., s. 56 108 Ġnternet sitelerinin trafik hacminin genellikle çok fazla olduğu, dolayısıyla bu trafiğin veri akıĢının elde edilmesinin sadece örnekleme yoluyla mümkün olduğu ifade edilmektedir. KBA trafiğinin normal trafikten izole edilmesinin ve belki de anonimleĢtirilmesinin, verinin paylaĢılmasını hukuki açıdan mümkün kıldığı belirtilmektedir. Bir adres önekinin rezerve ettirilmesi ve IP adresinden önceki K sayıdaki bitin Ģifrelenmesi önerilmektedir. Bu metodun kullanıĢlı olabileceği ifade edilmektedir. CANINE, bu algoritmanın NetFlow verilerine uygulanması için kullanılan bir araç olarak belirtilmektedir. Adres anonimleĢtirmenin, aynı K&K sunucularının birkaç kayıtta görünmesi gibi veriyi analiz etmeyi zorlaĢtıran ilave zorluklara yol açtığı ifade edilmektedir. Bu yüzden anonimleĢtirilmiĢ iki adresin aynı olup olmadığının sorgulanması için bir mekanizmaya ihtiyaç duyulduğu belirtilmektedir. b.2.4 Bal küpü kullanmak166 Bal küpleri yeni türdeki kötücül yazılımların toplanması için yaygın bir Ģekilde kullanılan bir yaklaĢımdır. Geleneksel olarak, yamasız bir bal küpü ağa yerleĢtirilmekte ve bulaĢmaların takibi için izlenmektedir. Bal küpleri, kötücül yazılım parçasının operasyonları hakkında KBA K&K trafiğini izleme gibi detaylı bilgiler elde etme avantajı sunmaktadır. KBA’yı bal küpü ile izlemek için iki metodun olduğundan bahsedilmektedir. 1. IRC ağına giden bağlantıların bulunması için bal küpünün kullanılması. Bu yaklaĢımda verimli olmayan bir kaynak veya bal küpü kullanılmaktadır. Açıklıkları bulunan ve bir bot programının bulaĢmasını bekleyen bir sistem kurulmaktadır. Daha sonra IRC ağlara giden bağlantılar bulunmakta, kendilerine ait bot programı kullanılarak geri bağlantılar sağlanmakta ve IRC sunucunun profili çizilmektedir. 2. IRC sunucusuna direkt bağlanmak yerine trafiğin karakteristiklerine bakmak üzere bot programını yakalamak için bal küpünün kullanılması. Diğer bir yaklaĢım ise bot programının yakalanması için bal küpünün kullanılması ve giden bağlantılarda K&K trafiğinin karakteristiklerine bakılması. Bal küpünden elde edilen verilerin 166 APEC, a.g.e., s. 57 109 kullanılmasıyla yapılan giriĢimlerden biri, KBA haberleĢmesinde davranıĢsal değiĢmezlerin izole edilmesi olarak ifade edilmektedir. Bu metodun baĢarılı tüm giden TCP bağlantılarını bulduğu ve trafikleri kontrol ederek hepsinin K&K faaliyetleri ile direkt olarak iliĢkili olduğunu doğruladığı belirtilmektedir. Bant geniĢliği test edici araçların bulunup kullanılması için bot programından arama motorlarına olan bağlantılar, sunucu adreslerini elde etmek için popüler mesaj panolarından indirilen mesajlar, kapsamlı bilgisayar profillerinin diğer sunuculara iletimi gibi geniĢ yelpazede davranıĢların olduğu ifade edilmektedir. Bu profillerin bot programı bulaĢmıĢ bilgisayarın iĢletim sistemine, bant geniĢliğine, kullanıcılarına, Ģifrelerine, dosya paylaĢımlarına, dosya isimlerine ve bütün dosyaların izinlerine iliĢkin detaylı bilgiler içerdiği belirtilmektedir. Daha sonra, KBA’nın K&K trafiğinin belirlenmesinde kullanılabilecek olan özel bir karakteristiğe bakılması için giden bütün baĢarılı bağlantıların analiz edilmesine ihtiyaç duyulmaktadır. Ancak bal küplerinin aĢağıda belirtilen dezavantajları da bulunmaktadır; Öncelikle bal küpüne bot programının bulaĢması gerekmektedir. Çünkü bir solucan Ġnternet üzerindeki mümkün olduğu kadar çok bilgisayara saldırı giriĢiminde bulunmakta, bulaĢma meydana geldiğinde o bilgisayarın ürettiği çıkıĢ trafiğinin özel bir dikkatle incelenmesi gerektiği ifade edilmektedir. Ġkinci olarak, bir bal küpü iĢletmenin veri gizliliği ve yükümlülükler anlamında yasal problemler oluĢturabileceği belirtilmektedir. Üçüncü olarak, bot programlarının bal küpü tespit mekanizmaları gibi anti-adli yetenekler içerebileceği ifade edilmektedir. Bununla birlikte, düzgün bir Ģekilde iĢletilen bal küplerinin bot programı hakkında ve bot programının kullandığı K&K kanalları hakkında değerli istihbarat bilgileri sağlayacağı söylenmektedir. Etkili bir bal küpünün kullanımının devam edebilmesi ve kötücül yazılımın ortadan kaldırılması için gerekli olan çabanın, bunların güvenlik araĢtırmacılar için olan yararlarını sınırlandırdığı da ifade edilmektedir. 110 c) Diğer iĢletmeler için yaklaĢımlar167 Ağ güvenliği teknolojisinde araĢtırma yapmayan Ģirketlerin veya iĢletmelerin, çok fazla para ve insan gücünü ağ güvenliği konusunda araĢtırma yapmada veya KBA tespiti için giriĢimde bulunmada kullanmasına gerek olmadığı ifade edilmektedir. Bazı küçük ve orta ölçekli iĢletmelerin hükümetler veya ordu gibi, birbirinden tamamen izole edilmiĢ ve aynı anda birinin dâhili ağa diğerinin ise harici ağa bağlanamadığı çift kablolu ağ sistemleri kurmak için yeterli fona sahip olmadıkları ifade edilmektedir. Bunun güvenli bir yöntem olduğu ancak küçük ve orta ölçekli iĢletmeler için elveriĢli olmadığı belirtilmektedir. ġirket ağlarının korunması için genellikle hazır teknolojiler kullanılmaktadır. ĠĢletmelerin geleneksel çok katmanlı güvenlik savunma programları ġekil 6.2’de gösterilmektedir. ġekil 6.2 : Geleneksel çok katmanlı güvenlik savunma sistemi168 ĠĢletmelerin ağ güvenliklerini aĢağıdaki yöntemlerle güçlendirebilecekleri belirtilmektedir: 167 APEC, a.g.e., s. 58 168 y.a.g.e. 111 c.1 Güvenli ağ eriĢiminin seçilmesi169 ĠĢletmelerin dâhili ağın özellikle de Ģirketin finansal, pazarlama ve tasarım sırlarının güvenliğini sağlarken, Ġnternete güvenli ve etkili bir eriĢimi temin etmek için uygun ağ eriĢim metodunu seçmeleri gerektiği ifade edilmektedir. Küçük ve orta ölçekli iĢletmelerin bir izolasyon kartı ve iki fiziksel donanımsal sürücü yükleyerek izolasyon teknolojisi ile bir bilgisayarı iki bilgisayara bölebilecekleri ve bilgisayarı yeniden baĢlatmak suretiyle iki ağ arasında geçiĢ yapabilecekleri belirtilmektedir. Bu Ģekilde kullanıcılar bir bilgisayar kullanarak sadece dâhili ağda çalıĢmakla kalmamakta aynı zamanda harici ağa da geçebilmektedirler. Aynı makine üzerinde harici ağda çalıĢılırken dâhili ağ görünmemekte ve bu teknolojinin en büyük avantajının ise para tasarrufu öncülü ile dâhili ağın güvenliğinin sağlanması olduğu ifade edilmektedir. Bu ilke ġekil 6.3’te gösterilmektedir: ġekil 6.3 : GeliĢmiĢ çok katmanlı güvenlik savunma sistemi170 169 APEC, a.g.e., s. 58-59 170 APEC, a.g.e., s. 59 112 c.2 Varsayılan paylaĢımın yasaklanması171 Uzaktan sistem yapılandırması için sistem yöneticisinin iĢini kolaylaĢtırmak amacıyla Windows 2000, XP ve bunların sunucu sürümlerinde yerel diskin kökünün varsayılan olarak gizli paylaĢıma açık olduğu ifade edilmektedir. Fakat korsanın sistem yöneticisinin Ģifresini kırması durumunda disk üzerindeki verilerin tamamen teĢhir olacağı belirtilmektedir. Bu yüzden varsayılan paylaĢımın engellenmesi için Windows kayıt defterinin değiĢtirilmesinin daha iyi olacağı ifade edilmektedir. c.3 Ġnternet bilgi hizmetinin güvenli yapılandırılması, gereksiz hizmetlerin durdurulması172 Ġnternet bilgi servisinin (Internet Information Service - IIS) açıklıklara sahip olduğu, dolayısıyla IIS’yi sistemle aynı bölmeye kurmaktan kaçınılması, günlük kayıtlarının sertifikasının güvenliğinin yapılandırılması, gereksiz Ġnternet Sunucu Uygulama Programlama Ara yüzü (Internet Server Application Programming Interface - ISAPI) haritalamasının kaldırılması ve eriĢim kontrolünün ve IP adresi kontrolünün kurulması gerektiği ifade edilmektedir. IIS hizmetlerinin veritabanı sunucusunun sağlanmaması gerektiği, DHCP istemci, dizin oluĢturma hizmeti, haberci, ağ dinamik veri değiĢimi (Dynamic Data Exchange - DDE), baskı biriktiricisi, yönlendirme ve uzaktan eriĢim, uzak kayıt hizmeti, basit ağ yönetim protokolü (Simple Network Management Protocol – SNMP) hizmeti, görev zamanlayıcısı, www yayımlama hizmeti, basit posta aktarım protokolü (Simple Mail Transfer Protocol - SMTP), dosya aktarım protokolü (File Transfer Protocol - FTP), gibi hizmetlerin yasaklanması önerilmektedir. c.4 Antivirüs yazılımının yüklenmesi173 Ġnternetin geliĢmesiyle beraber kötücül yazılımların bulaĢmasındaki sıklığın ağ yöneticileri için sorun çıkaran bir husus haline geldiği ifade edilmektedir. Antivirüs yazılımının yüklendikten 171 y.a.g.e. 172 APEC, a.g.e., s. 59 173 APEC, a.g.e., s. 60 sonra zamanında güncellenmesi gerektiği, çünkü 113 güncelleme yapmadan yüklemenin hiç yüklememeye eĢdeğer olduğu belirtilmektedir. Antivirüs yazılımının Ġnternet sürümünün satın alınması ve uzaktan yükleme ile yazılımın dağıtımının tamamen Ġnternet üzerinden yapılarak dâhili ağda virüs yayılmasının önlenmesi tavsiye edilmektedir. Çok katmanlı bir virüs koruma sistemi kurulması, iĢletmenin her istemcisine antivirüs yazılımı kurulması, sunucuya sunucu tabanlı antivirüs yazılımının ağ geçidine ise ağ geçidi tabanlı antivirüs yazılımının kurulması gerektiği ifade edilmektedir. Çünkü virüs saldırılarının engellenmesinin kurumsal ağ sistemleri için bir sunucunun ya da bir masaüstü bilgisayarın korunması olmadığı, iĢ istasyonundan, sunucuya oradan ağ geçidine kadar kapsamlı bir koruma olduğu ifade edilmektedir. Symantec Ģirketinin Norton AntiBot ürününü tanıttığı ve Amerikan FireEye Ģirketinin KBA saldırılarına karĢı etkin bir savunma sağlayan FireEye Botwall ürününü içeren anti-KBA sistemlerini piyasaya sürdüğü belirtilmektedir. Yüksek ağ güvenliği gereksinimleri olan küçük ve orta ölçekli iĢletmelerin ağ saldırı tespiti ve mesaj Ģifreleme gibi diğer araçları hesaba katmaları önerilmektedir. c.5 Ağ güvenliği yönetiminin güçlendirilmesi ve dâhili gizli tehlikelerin önlenmesi174 Ağ güvenliği düzenlemelerinin yapılması gerektiği ifade edilmektedir. Bütün kullanıcıların ve ağ yöneticilerinin bu kurallara kesinlikle uymaları gerektiği ve gizliliğe iliĢkin sorumluluğu yerine getirmek zorunda oldukları belirtilmektedir. Personele yönelik ağ güvenliği eğitimlerinin düzenlenmesi, yetkisiz eriĢimin ve bilgi sızdırmanın yasadıĢı olduğu konusunda her personelin bilgilendirilmesi gerekmektedir. YasadıĢı kullanıcıların ve sabotajcıların bulunması durumunda cezalandırılması gerektiği ifade edilmektedir. 6.1.2.1 Bireysel kullanıcılar için politika ve teknoloji rehberi175 Bireysel bilgisayar kullanıcılarının bilgisayar konusunda genellikle profesyonel olmadıkları ve kendi bilgisayarlarının güvenliği hakkında çok az bilgi sahibi oldukları 174 APEC, a.g.e., s. 60 175 y.a.g.e. 114 ifade edilmektedir. Bireysel kullanıcıların ağdaki en zayıf halka olduğu ve korsanların en gözde kaynağı olacakları belirtilmektedir. Dolayısıyla bu kullanıcıların kiĢisel korunma bilincinin güçlendirilmesi, siber suç farkındalığının arttırılması, kendi bilgisayarlarını korumaları, ağ danıĢmanlarıyla iĢbirliği yaparak Ġnternet güvenliğini garanti etmeleri gerekmektedir. Bot programlarının geleneksel virüsler gibi kiĢisel bilgisayarları tahrip etmeyeceği ve makinenin performansını düĢürmeyeceği veya makineyi çökertmeyeceği, çünkü bot programlarının kendileri için Ġnternete bağlanacak KB’lere ihtiyaç duydukları belirtilmektedir. Bu yüzden kullanıcıların, bilgisayarlarının bir KB haline geldiğinin genelde farkında olmadıkları ifade edilmektedir. Dahası, ağ izleme birimlerinin gerçek zamanlı koruma sağlamak için bir kullanıcının bilgisayarına KB yazılımlarını izleme araçları kuramayacakları belirtilmektedir. a. Kendi kendine önleme ve tespit176 Suçun bir ortağı haline gelebilecek olan kiĢisel bilgisayar kullanıcılarının güvenlik bilincinin ve temel güvenlik bilgilerini anlamalarının sağlanması gerekmektedir. Ġyi güvenlik alıĢkanlıklarının edinilmesi ile bilgisayarların zarar görme riskinin azaltılacağı ifade edilmektedir. Bireysel kullanıcıların antivirüs yazılımı kullanmaları ve bakımını yapmaları gerekmektedir. Antivirüs yazılımları bilgisayarları korumak için bilinen birçok virüsü tanıyabilmekte, dolayısıyla virüsler herhangi bir hasara yol açmadan tespit edilebilmekte ve temizlenebilmektedir. Saldırganlar sürekli yeni KB prosedürleri yazmaktadırlar. Bu nedenle antivirüs yazılımının güncellenmesi de önem arz etmektedir. Bazı antivirüs yazılımı satan firmaların aynı zamanda anti-truva atı yazılımı da sağladıkları belirtilmektedir. Bir güvenlik duvarı yüklemenin, kiĢinin bilgisayarına kötücül yazılım akıĢını önleyerek bilinen virüs türlerinin bulaĢmasını engelleyebileceği ifade edilmektedir. Aynı zamanda kullanıcının gönderdiği trafiği de kısıtlamaktadır. Aslında bazı iĢletim sistemlerine bir güvenlik duvarı dâhil edilmekte fakat etkinleĢtirilmiĢ olması gerekmektedir. Yazılım güncellemelerinin yapılmasıyla ve yazılım yamalarının kurulmasıyla saldırganların bilinen sorunları ve boĢlukları kullanamayacakları belirtilmektedir. Birçok iĢletim sistemi otomatik güncelleme yapılmasını önermektedir. Eğer iĢletim sisteminin otomatik güncelleme seçeneği bulunuyorsa 176 bunun etkinleĢtirilmesi önerilmektedir. Sistemin zaman zaman APEC, a.g.e., s. 61 115 güncellenmesi ve yasal yazılımların kullanılması gerekmektedir. Sosyal içerikli sitelerdeki e-postaların, anlık mesajların ve adres bağlantılarının açılmaması önerilmektedir. Ġnternetteki bilinçsizce paylaĢıma açılmıĢ dokümanların alınmaması gerekmektedir. Bireysel kullanıcıların yapması gerekenlere paralel olarak aĢağıda sıralanan bazı temel önlemlere iliĢkin farkındalığın ve virüs öldürme teknolojilerinin de olması gerekmektedir: 1. Antivirüs yazılımı ve güvenlik duvarı yüklenmesi, 2. Netstat gibi sistem komutlarının kullanılarak varsa Ģüpheli bağlantıların görülmesi, 3. Ağ paketi yakalama araçları kullanarak varsa Ģüpheli paketlerin görülmesi, 4. Windows iĢletim sisteminde baĢlat menüsün çalıĢtır alt menüsü kullanılarak msconfig aracının çalıĢtırılması ve varsa Ģüpheli baĢlama seçeneklerinin görülmesi kontrollerinin de yapılabileceği belirtilmektedir. b. Mevcut ürünler177 Bir ABD Ģirketi olan FireEye’nin anti-Bot sistemini piyasaya sürdüğü ve bu ürünün ağ verilerini gerçek zamanlı olarak tespit edebilen ve iĢletmelere gerçek zamanlı KBA mesajları gönderebilen, müĢterilerini tüm yeni ve bilinen KBA saldırılarından 7/24 koruyan FireEye BotWall aracını da içerdiği belirtilmektedir. Bu aracın kurban bilgisayar üzerindeki sanal makinenin ağ trafiğinin gerçek zamanlı analizini yapmak için FireEye motorunun analiz ve kontrol teknolojisini kullandığı, doğru KBA bilgilerine ulaĢtığı ve müĢteriyi koruduğu ifade edilmektedir. Symantec Ģirketinin de Norton AntiBot ürününü piyasaya sürdüğü, bu ürünün kullanıcı kimlik doğrulama bilgilerinin çalınması ve bunların diğer çevrim içi yasadıĢı faaliyetlerde kullanılmasını sağlayan KB süreci de dâhil olmak üzere KBA tehditlerine karĢı geliĢmiĢ ve gerçek zamanlı koruma sağladığı belirtilmektedir. Bu güçlü ve güvenli metodun bilgisayardaki anormal davranıĢları genellikle tespit ettiği ve KB süreçlerini sildiği ifade edilmektedir. 177 APEC, a.g.e., s. 61-62 116 7. BĠR ÜLKE ĠNCELEMESĠ - JAPONYA KBA’larla mücadelede baĢarı için kamu-özel sektör iĢbirliği modelinin çok önemli olduğu hem ITU’nun KBA ile mücadele rehberinde hem de APEC’in KBA ile mücadelede politika ve teknik yaklaĢımlar dokümanında vurgulanmaktadır. Japonya, bu iĢbirliği modelini gerçekleĢtiren ve KBA ile mücadelede baĢarı sağlayan bir ülke olarak ifade edilmektedir. 7.1 Siber Temizlik Merkezi Japonya’da, Ġnternet için bir tehdit olan bot programlarının karakteristiklerini incelemek, bu yazılımların, bilgisayarlara bulaĢmasını engellemek, bulaĢmıĢ ise temizlenmesini sağlamak üzere Bot Program KarĢıtı Önlemler Projesi baĢlatılmıĢtır. Proje kapsamında 2006 yılında Siber Temizlik Merkezi (Cyber Clean Center – CCC) kurulmuĢtur178. CCC, bot programlarını kullanıcı bilgisayarlarından temizlemek ve bir defa bu yazılımlardan etkilenmiĢ bilgisayarlara bot programlarının yeniden bulaĢmasını engellemek üzere Ġnternet Servis Sağlayıcılar (ĠSS) ile iĢbirliği içinde çalıĢan bir organizasyondur179. 7.2 Siber Temizlik Merkezinin Amacı Bot programının son yıllarda bulaĢma miktarı artıĢ gösteren ve çok sayıda alt türü bulunan bir tür dolandırıcılık programı olmasından dolayı bilgisayar virüslerine karĢı kullanılan geleneksel temizleme araçlarının kullanılarak bot programlarının temizlenmesinin zor olduğu belirtilmektedir. Bot programlarının saldırı ve bulaĢma faaliyetlerini gerçekleĢtiren kodlarının, programların sınırlı bölümlerine koyulduğu ve bu kodların haricen görülmemesinden dolayı kullanıcıların bilgisayarlarında neler olduğunu fark etmedikleri ifade edilmektedir. Güvenli bir Ġnternet ortamının sağlanması yolunda bu acil bir durum olarak belirtilmektedir. Bunun bot programlarının saldırı ve bulaĢma faaliyetlerinin efektif ve güvenli bir Ģekilde 178 Cyber Clean Center (CCC) Activity Report, 2008, s. 1, (EriĢim) https://www.ccc.go.jp/en_report/h20ccc_en_report.pdf, 14 Ekim 2009 179 (EriĢim) https://www.ccc.go.jp/en_ccc/index.html, 12 Ekim 2009 117 anlaĢılmasını gerektirdiği, kullanıcılara bilgisayarlarına bulaĢmıĢ bot programlarını temizlemeleri için bazı önleyici tedbirler sağlamanın gerekliliği ifade edilmektedir. Bu durumda, bu türlü bir alanda sürekli aktif olmayı ve ilgili kuruluĢlar, ĠSS’ler, bot programı için karĢı önlem bilgileri hazırlayanlar ve güvenlik üreticileri arasında koordinasyonu sağlamayı amaçlayan CCC kurulmuĢtur180. 7.3 Siber Temizlik Merkezinin Yapısı CCC, Siber Temizlik Merkezi Yönetim Kurulu ve kurulun altında üç adet çalıĢma grubundan oluĢmaktadır (ġekil 7.1). ġekil 7.1 : Siber temizlik merkezinin yapısı181 7.3.1 Siber temizlik merkezi yönetim kurulu CCC’nin politikalarını ve faaliyetlerini kapsamlı bir Ģekilde değerlendiren birimdir. 180 (EriĢim) https://www.ccc.go.jp/en_ccc/index.html, 12 Ekim 2009 181 (EriĢim) https://www.ccc.go.jp/en_ccc/index.html, 13 Ekim 2009 118 7.3.2 Bot programı karĢı önlem sistem operasyon grubu Bu grubun, bilgisayarlarına bot programı bulaĢmıĢ kullanıcıların dikkatini çekmek ve kullanıcılara ĠSS’ler aracılığıyla bot programına karĢı alınabilecek önlemlere iliĢkin bilgileri sağlamak amacıyla bot programlarının ana gövdelerini elde eden “Bot Programı Toplama Sistemi”ni iĢletme rolü bulunmaktadır. Grup ilave olarak, bot programları da dâhil olmak üzere virüslerin güncel faaliyetlerini incelemektedir182. 7.3.3 Bot programı analiz grubu Bot Programı Toplama Sistemi aracılığıyla elde edilen bot programları üzerinde analiz çalıĢmaları yapmaktadır. Grup, bot programlarının karakteristiklerini ve teknik öğelerini etkin ve verimli analiz tekniklerini kullanarak analiz etmektedir. Ayrıca grup, bot programına karĢı alınması gereken önlemlere iliĢkin bilgileri hazırlayan kiĢilerle iĢbirliği içinde yapılan analizlerden elde edilen bilgileri kullanarak karĢı önlem teknolojileri geliĢtirmektedir183. 7.3.4 Bot programı bulaĢmayı önleme tanıtım grubu Bu grup, güvenlik üreticileri ile iĢbirliği içinde çalıĢarak bot programı bulaĢmayı önleme tedbirlerinin geliĢtirilmesi ve genel kullanıcılar için bot programının yeniden bulaĢmasını önleme görevini üstlenmektedir. Grup özellikle proje kapsamında elde edilen bot programlarını numune teĢkil etmesi için güvenlik ürünü geliĢtiren Ģirketler ile paylaĢmakta, böylece her üretici ilgili bot programlarına iliĢkin karĢı önlemleri kendi desen dosyalarına dahil etmektedir. Güncel desen dosyalarından dolayı, bahsi geçen proje kapsamında elde edilen bot programlarının tespit edilmesi ve temizlenmesi mümkün olacaktır ve bu da karĢı güvenlik önlemlerinin geliĢmesi olarak ifade edilmektedir. Projeye katılan üretici firmalar, numuneleri titiz bir Ģekilde inceleyen, Japonya’da bot programlarını analiz etmek için yerli üniteleri bulunan ve antivirüs yazılımı ve hizmetleri alanında oldukça deneyimli olan Ģirketlerdir. Bu üreticilerin projeye katılmasıyla, bot programı bulaĢmayı önleme tanıtım grubunun 182 (EriĢim) https://www.ccc.go.jp/en_ccc/index.html, 13 Ekim 2009 183 y.a.g.e. 119 kullanıcıların bilgisayarlarına bot programı bulaĢmasını önleme çalıĢmaları yürüteceği ifade edilmektedir184. 7.3.5 Projeye Katılan KuruluĢlar Projeye katılan toplam 71 adet ĠSS’den bazılarına, temizleme araçları geliĢtiren iĢ organlarına ve güvenlik üreticilerine Tablo 7.1’de yer verilmiĢtir. Tablo 7.1 : Japonya’da bot programı karĢıtı önlemler projesine katılan kuruluĢlar ĠSS’ler Temizleme Araçları GeliĢtiren ĠĢ Organları NTT Communications Trend Micro Corporation (OCN) Incorporated Güvenlik Üreticileri AhnLab, Inc. SOFTBANK BB Corp. (Yahoo! K.K. Kaspersky Labs BB) Japan CableOne Corporation (CableInternet) CableTV Yamagata,Inc. (CATV-Y Internet) McAfee Incorporated Microsoft Corporation FUJITSU SOFTWARE TECHNOLOGIES LIMITED Sourcenext Corporation (Web-Shizuoka) Global Network Core Co.,Ltd (N-plus, info-niigata) Internet Pro Tokai Co.,Ltd. (IPCTokai Internet Service) Trend Micro Incorporated Symantec Corporation Nagasaki Cable Media NTT DATA SANYO SYSTEM CORPORATION (SANNET) NTT DOCOMO , INC. (mopera U) 184 (EriĢim) https://www.ccc.go.jp/en_ccc/index.html, 13 Ekim 2009 120 NTT Plala Inc. (plala) NTT-ME CORPORATION (WAKWAK) NTTPC Communications,Inc. (InfoSphere, IP) TOKAI CORPORATION (TOKAI NETWORK CLUB) TOKYO CABLE NETWORK INCORPORATED 7.3.6 Siber Temizlik Merkezinin Farkındalık Faaliyetleri Son yıllarda bot programı virüsleri gibi belirli zararlı program türlerinin Ġnternet üzerinden çoğaldığı ve bulaĢtığı görülmektedir. Bu çoğalmanın nedenlerinden biri, bot programının bir sisteme bulaĢması geçmiĢ yıllardaki virüsler göre daha geliĢmiĢ ve gizli bir Ģekilde olmakta, dahası Ġnternet kullanıcısı bot programının bulaĢma rotasını bilmemektedir. Bot programını tespit edebilmek için CCC, “balküpü” denilen tuzak makineler sağlamakta, bot programı bulaĢmıĢ bilgisayarların IP adreslerini elde etmekte ve bot programından etkilenen kullanıcılara dikkatli olmaları konusunda projeye katılan ĠSS’ler ile iĢbirliği içinde uyarılar göndermektedir. Bir virüs temizleme prosedürünün geleneksel olarak e-posta yoluyla yapılan uyarısının aksine, bu uyarı metodu e-posta ve Ġnternet adresi bileĢenlerini birlikte kullanmaktadır. Bu metotta, bot programından etkilenmiĢ bir kullanıcıya bot programlarının nasıl temizleneceğini gösteren Ġnternet sayfasının adresini de içeren bir e-posta gönderilmektedir. Diğer bir deyiĢle bu metot, bot programından etkilenen kullanıcıya bot programlarının nasıl tehlike oluĢturduklarını ve nasıl temizlendiğine iliĢkin anlaĢılması kolay açıklamalar sağlamaktadır. ġekil 7.2’te farkındalık iĢlemleri kavramsal olarak gösterilmektedir. 121 ġekil 7.2 : Siber temizlik merkezinin farkındalık iĢlem döngüsü ġekil 7.2’de numaralandırılan adımlarda aĢağıda anlatılanların yapıldığı ifade edilmektedir: 1. Bot programlarını yakalama CCC, projeye katılan ĠSS’lerin Ġnternet hatlarına bağlanmakta ve “Balküpü” adı verilen tuzak makineler aracılığıyla bot programlarını yakalamaktadır. Bot program analiz grubu yakalanan bot programları için temizleme araçları hazırlamaktadır. 2. Etkilenen kullanıcıların tespiti CCC merkezi “Balküpü” makinesi tarafından yakalanan bir bot programının bulaĢmasına iliĢkin günlük kayıtlarının (IP adresi, tarih ve saat) bir kopyasını projeye 122 katılan ilgili ĠSS’ye göndermekte ve o IP adresini kullanan kullanıcıyı tespit etmektedir. 3. Etkilenen kullanıcıya uyarı mesajı gönderilmesi Ġlgili ĠSS, etkilenen kullanıcıya bir “bot programı dikkat uyarısı” e-posta mesajı göndermektedir. Bu e-posta bot programı temizleme Ġnternet sayfasına ait URL adresini içermektedir. ĠSS’nin kullanıcının bot programını temizleme durumunu izleyebilmesini sağlamak için URL kullanıcıya özel bir karakter dizisi (izleme kodu) içermektedir. 4. Bot programı temizleme Ġnternet sayfasına eriĢim Etkilenen kullanıcı kendisine gönderilen uyarı mesajına cevaben mesajda gönderilen adresteki bot programı temizleme sayfasına eriĢmekte, bot programı ağının nasıl bir tehdit olduğu konusunda bu sayfa aracılığıyla bilgilenmekte ve bot programı temizleme aracını indirmektedir. 5. Bot programı temizleme aracının indirilmesi ve bot program virüsünün temizlenmesi Bot programından etkilenen kullanıcı ücretsiz olarak sağlanan bot programı temizleme aracını indirmekte ve bot programlarını temizlemektedir. Sonrasında kullanıcının iĢletim sistemi güncellemelerini yapması ve bir anti-virüs yazılımı yüklemesi önerilmekte, bot programı temizleme iĢleminin tamamlandığına iliĢkin bir geri bildirimin yapılması istenmektedir. Bu geri bildirimle CCC kullanıcının temizleme iĢleminin tamamlandığını anlamaktadır. 123 8. SONUÇ Ġnternetin hızında, kullanımında ve yaygınlığındaki muazzam artıĢ, hayatımızın da inanılmaz bir Ģekilde değiĢmesine yol açmaktadır. Günlük yapa geldiğimiz iĢlemlerin çok fazla değiĢime uğradığının, yaĢantımıza her geçen gün yepyeni fırsatların ve uygulamaların girdiğininin farkına vardığımızda bu değiĢim, daha yoğun olarak hissedilecektir. Hayatımızdaki bu değiĢim, çok çeĢitli fırsatlar sunduğu gibi, dezavantajları ve çözülmesi gereken sorunları da beraberinde getirmektedir. Ġnternet sadece hayatları renklendiren, bilgiye eriĢimi kolaylaĢtıran, çok sayıda katma değerli hizmet verilebilmesini sağlayan bir ortam değil, aynı zamanda kötü niyetli kiĢilerin ve grupların kötü emellerine ulaĢabilmeleri için de bir zemindir. Kötü niyetli kiĢiler bu zeminde amaçlarına ulaĢabilmek için çeĢitli yöntemler ve araçlar geliĢtirmiĢlerdir. Günümüzde bu araçların en tehlikeli olarak görüleni KBA’lardır. KBA’lar kullanılarak bir devletin BĠT altyapılarına zararlar verilebildiği, verilen hizmetlerin aksatılabildiği veya durdurulabildiği, özel sektöre mali kayıplar yaĢatıldığı, bireysel kullanıcıların kimlik veya banka hesap bilgilerinin çalınarak baĢka kiĢilere satıldığı veya kötücül faaliyetlerde kullanıldığı böylesi bir ortamda iyi niyetli kullanıcıların bu tehlikelerden korunması ihtiyacı doğmuĢtur. Ġnternetin kiĢilerin hayatlarında çok fazla yer almaya baĢlaması, kiĢisel bilgilerin de bu ortamda çokça bulunmasına yol açmıĢtır. Ġnternet ortamındaki kiĢisel bilgilerin güvenliğinin sağlanması, kurumsal ağ hizmetlerinin normal bir Ģekilde iĢletilmesi ve ülkelerin bilgi ve iletiĢim altyapısının korunması gerekliliği, KBA tehdidinin ortadan kaldırılmasını zaruri kılmaktadır. KBA’nın kontrol altına alınması ve ilgili tehditlerin azaltılması konusunda devletin, özel sektörün ve bireysel kullanıcıların karĢılaĢtıkları çeĢitli zorluklar bulunmakla birlikte bu kesimlerin yapmaları gereken birçok iĢ de bulunmaktadır. KBA ile baĢarılı bir Ģekilde mücadele edebilmek için öncelikle etkili bir kamu-özel sektör iĢbirliği modelinin kurulması gerekmektedir. Kurulacak bu model ile kamu ve özel sektör arasında iĢbirliğinin ve bilgi paylaĢımının doğru ve hızlı bir Ģekilde sağlanması temin edilmelidir. Bunların yanı sıra ilgili politikaların ve düzenlemelerin oluĢturulması, 124 BOME’lerin, güvenlik çözümü geliĢtirenlerin, ĠSS’lerin iĢbirliği içinde çalıĢmaları gerekmektedir. En önemlisi de bireysel kullanıcıların genel anlamda ve özellikle de KBA konusunda güvenlik farkındalıklarının arttırılması gerekmektedir. Etkili sonuçlar alınabilmesi için KBA konusunun basit bir teknik problem olarak değil de, hükümetlerin karar verme birimlerinin, kolluk birimlerinin, ĠSS’lerin, donanım ve yazılım üreticilerinin, BOME’lerin ve son kullanıcıların birlikte çalıĢmalarını gerektiren sosyal bir problem olarak görülmesi gerekmektedir. 125 GMK Bulvarı YeĢilırmak Sokak No:16 06570 Demirtepe / ANKARA URL: http://www.btk.gov.tr

Log In

Köle Bilgisayar ve Köle Bilgisayar Ağları

Köle Bilgisayar ve Köle Bilgisayar Ağları

Free Related PDFs

FREE RELATED PAPERS

RELATED TOPICS