SON DAKİKA
30 Ocak Döviz Kurları – KIBRIS HABER
Güzellik ve SPA Merkezinde, sauna odası alev aldı! – KIBRIS HABER
Tabipler Birliği, Çalışma Bakanlığı’nı eleştirdi! – KIBRIS HABER
15 yaşındaki kızı taciz etmişti, işine son verildi! – KIBRIS HABER
Birçok noktada sel baskını yaşayacağız! – KIBRIS HABER
Ufuk Tomson mezarı başında anıldı! – KIBRIS HABER
Borsa’da yükseliş – KIBRIS HABER
29 Ocak Petrol Fiyatı – KIBRIS HABER
THY uçağına yıldırım isabet etti! – KIBRIS HABER
Sterlin 39’a dayandı! – KIBRIS HABER
Özersay, Rum lideri Hristodulides’i eleştirdi! – KIBRIS HABER
KKTC’yi soğuk ve karlı bir hafta bekliyor! – KIBRIS HABER
Rauf Raif Denktaş 100 yaşında! – KIBRIS HABER
Rum Yönetiminden Kıbrıslı Türklere yönelik 14 maddelik paket! – KIBRIS HABER
Güvenlik Kuvvetleri Komutanlığından önemli duyuru! – KIBRIS HABER
Kuaför, 15 yaşındaki kızı taciz etti! – KIBRIS HABER
Temizlediği evleri soydu! – KIBRIS HABER
Kasaplar Birliği eylem yaptı! – KIBRIS HABER
Bakanlar Kurulu toplandı! Gözler görüşme sonrası yapılacak açıklamaya çevrildi – KIBRIS HABER
Beyköy Tatbikat alanında atış yapılacak! – KIBRIS HABER
Oğuz: İstatistik Kurumu’nun açıkladığı nüfusu muteber kabul etmeliyiz 
Soğuk ve yağmurlu hava etkili oluyor
İskele’de olaylı gün
Meteoroloji kurumları arasındaki işbirliği arttırılacak
III. Kıbrıs Türk Gençlik Kongresi: Enflasyona sebep olan faktörler kamu yükü ve vergilerdir
‘Olmazsa olmaz’ Herkes hasta… Uzman isim uyardı! Üçlü virüs salgınıyla mücadele için…
Instagram takip isteklerinde yeni dönem! Yorum yağdı… “CV de gönderelim tam olsun”
Ülkede 2014 yılından bu yana kaçak yaşayan zanlılar, cezaevine gönderildi.
Burak Maviş: Yasanın süresi bitiyor, deprem fonundaki para nerede bekletilecek?
Tepebaşı’nda bugün 3 saatlik elektrik kesintisi yapılacak

İsimleri bile bilinmiyor lakin 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar muhteşem kahraman hacker’lar…

Adları bile bilinmiyor fakat 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar üstün kahraman hacker’lar…Fidye yazılım hücumları son …

İsimleri bile bilinmiyor lakin 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar muhteşem kahraman hacker’lar…
Akacan The Mall
09.10.2022 09:37
0
A+
A-

Adları bile bilinmiyor fakat 4 milyondan fazla kişiyi fidyeden kurtardılar! Onlar üstün kahraman hacker’lar…
Fidye yazılım hücumları son periyotta süratle yaygınlaşan bir siber cürüm. Şirketleri, hastaneleri, okulları, devlet kurumlarını hatta boru sınırlarını bile felç eden bu taarruzlardan kurtulmanın tek yolu fidyeyi ödemek üzere görünüyor lakin değil. Ödeyecek gücü olmayan ya da korsanlara para kaptırmak istemeyenlerin yardımına koşan bir tim var. Pekala kim bunlar?

Londra’nın merkezindeki bir okulun bilgi teknolojileri yöneticisi olan Matthew’nun telefonuna 23 Kasım 2020 Pazartesi akşamı saat 21.00 sularında bir ileti geldi. İş arkadaşlarından biri okulun internet sitesine erişilemediğini haber veriyordu.

Matthew kendi de girmeyi denedi siteye lakin başarılı olamadı. Başta “Acaba şifremi mi unuttum?” diye düşünse de kısa mühlet içinde sitenin kullanıcı ismini tanımadığını fark etti.

Akacan The Mall

Soyadının açıklanmasını istemeyen Matthew’nun çalıştığı devlet okulu, Hindistan, Pakistan ve Doğu Avrupa’dan gelen ve çok da varlıklı olmayan ailelerin çocuklarının devam ettiği bir kurum. Yaşları 5 ile 10 ortasında değişen 150 kadar öğrencinin birçoklarının en değerli besin kaynağı öğlenleri verilen fiyatsız okul yemekleri. Kraliçe Victoria devrinden kalmış eski binanın içinde kısıtlı bütçeyle öğrencileri için ellerinden geleni yapmaya çalışan öğretmenler, çocukların kalemlerini birinci tuttukları andan itibaren tüm ilerlemelerini, fotoğraflarını çekerek kayıt altına alıyor. Akabinde bu fotoğraflar okulun öteki işlerinin de yürütüldüğü bir ortak işlemciye yükleniyor.

Dışarıdan mutabakatlı olarak çalışmaya 2016 yılında başlayan Matthew’nun işi, çocukların öğrenme seyahatine ilişkin bu yeri doldurulmaz kayıtları korumak. Bu işin karşılığında aldığı para epeyce hudutlu lakin Matthew bu değerli misyonu büyük bir bağlılıkla yerine getiriyor.

23 Kasım 2020 gecesine dönersek… Matthew siteye erişilemediğini görünce elinden gelen her şeyi denemeye başladı. Saat 02.00 olduğunda son deva olarak sunucu hizmetini veren şirketin müşteri hizmetlerini aramaya karar verdi. Yeni bir sunucu aldı ve okulun sitesini bu sunucuya bağladı. Lakin tuhaflık devam ediyordu. Matthew, sunucuda isimlerini gördüğü evrakları açamıyordu. Hepsinin isminin sonuna “.encrypt” (şifrele) diye bir uzantı eklenmişti.

Matthew bir anda olan biteni fark ederek dehşete düştü: Okul, günümüzde süratle yaygınlaşmakta olan bir siber kabahat olan fidye saldırısı kurbanı olmuştu.

Korsanlıkla kriptografi ortasında noktada yer alan fidye yazılımları, bulaştıkları sistemlerdeki evrakları kilitliyor. Kilidi açmak yalnızca yanlışsız şifre anahtarının girilmesiyle mümkün olabiliyor. Korsanlar bu şifre anahtarı karşılığında çok büyük paralar talep ediyor.

“TÜM BELGELERİNİZ KİLİTLENDİ, ÖDEME YAPMAK İÇİN 2 GÜNÜNÜZ VAR”

Korsanlar okulun sistemine öğretmenlerin içerik idaresi gayesiyle kullandığı bir internet portalı üzerinden sızmıştı. Aslında portalın güvenliğini artıracak bir yama yayımlanmıştı ancak tıpkı anda birden fazla müşteriye hizmet veren Matthew, çok meşgul olduğundan o güncellemeyi yapmayı unutmuştu.

“Başkalarına verdiğim tavsiyeyi kendim uygulamamıştım. Çok büyük hüsrana uğradım ve çok utandım. Birileri karnıma yumruk atmış üzere hissettim” kelamlarıyla aktardı Matthew o andaki hislerini.

Okulun sitesinin enkazında dolanan Matthew bir not buldu. “Hack for Life” (Ölümüne Korsanlık) başlıklı notta şu tabirler yer alıyordu:

“Tüm Belgeleriniz Kilitlendi! Evraklarınızın yapısı ve içeriğindeki datalar geri döndürülemeyecek halde değiştirildi. Onları göremez, okuyamaz, üzerlerinde çalışamazsınız. Lakin bizim yardımımızla belgelerinizi eski haline getirebilirsiniz. Siz fidyeyi ödedikten sonra, tüm evraklarınızın şifresini çözebiliriz. Fidye elimize geçtikten sonra sizi kandırmak için bir sebebimiz bulunmuyor zira biz barbar değiliz ve bu türlü bir şey yapmak bizim yararımıza ziyan verir.

Ödeme Yapmak İçin 2 Gününüz Var. 2 Günden sonra Şifre Çözme Fiyatı, İkiye Katlanacak. 1 haftanın akabinde ise üçe… Bu nedenle ödemeyi birkaç saat içinde yapmanızı tavsiye ediyoruz.”

Bu, Matthew’nun fidye yazılımlarıyla birinci müsabakası değildi. Daha evvel çalıştığı yazılım şirketi de 2018 yılında atağa uğramıştı. Matthew ödeme yapmak yerine iki gün boyunca şirketin bilgilerini kurtarmak için çalışmıştı. Şirket yetkilileri ise olay duyulduğunda kurumun prestijine ziyan geleceğini ve yatırımcıların paniğe kapılacağını düşünüyordu. İki günün akabinde pes eden yöneticiler Matthew’ya 2 bitcoin’lik (o günün parasıyla yaklaşık 10 bin dolar) fidyeyi ödemesini söyledi. Ödemeyi yapan Matthew’ya şifreyi çözmek için gerekli anahtar teslim edildi ve şirket olayı geride bırakıp faaliyetlerine kaldığı yerden devam etti.

Ancak büyük bir şirketin kıymetsiz bir aksaklık muamelesi yaptığı bu türlü bir hücum, ekonomik manada zorluklar yaşayan bir okul için felaket potansiyeli taşıyordu. Matthew, “Çocukların değerlendirmeleri imkânsız hale gelecekti. Öğretmenlerin aylarca verdiği emekler çöpe gidecekti. Okul teftişten geçemeyecekti” diye konuştu.

10 BİN EURO’LUK FİDYE TALEBİNİ 1000 EURO’YA İNDİRDİLER AMA…

Uykusuz geçirdiği bir gecenin akabinde Matthew üstlerine durumu bildirdi ve saldırganlarla pazarlık etmekle görevlendirildi. Okulun saldırganlara para vermekten öteki devası yokmuş üzere görünmesi başka okulların da amaç alınmasına yol açacaktı. Matthew ve yöneticileri saldırıyı bilinmeyen tutmaya karar verdi. Okulun prestiji lekelensin istemiyorlardı, bu nedenle kolluk güçlerine haber vermemeyi seçtiler. Öğretmenlere ve velilere ise sistemin çalışmadığı söylendi.

Fidye notunda saldırganların istediği meblağ yer almıyordu. Matthew, korsanların belirttiği Gmail adresine “Bilgisayarımın şifresini kaldırmak için ne kadar istiyorsunuz?” diye bir e-posta gönderdi. Gelen yanıtta, “10 bin euro ödemek zorundasınız. Bugün 10 bin. Yarın 15 bin. İki gün daha beklerseniz 20 bin” deniyordu.

Matthew, okulun bu türlü bir ödeme yapmaya gücünün yetmeyeceğini biliyordu. O nedenle atak çok fazla hasara yol açmamış üzere davranarak pazarlık yapmaya karar verdi.

“Size ödeyecek 10 bin euro’m yok. Kusura bakmayın lakin gülünç bir talep bu. Biz kaynakları sonlu olan küçük bir okuluz. Bilgilerimizin çok büyük bir kısmı yedeklenmiş halde, yalnızca yakın vakitte yüklenmiş birkaç fotoğraf kayıp. En fazla 500 dolar ödeyebilirim. Bu sizin için uygunsa bana haber verin” diye bir bildiri daha gönderen Matthew’nun stratejisi başta işe yaramış üzere görünüyordu. Korsanlardan gelen karşılık “1000 Euro Son Teklif Şayet kabul etmezseniz bu konuşmayı sonlandırmak zorunda kalacağız” halindeydi.

Matthew rahatlamıştı. Okul 1000 euro’yu toplayabilirdi. Felaket atlatılmış üzere görünüyordu. Korsanlar ödemeyi bitcoin olarak istiyordu. Matthew kendisi de kripto paraya yatırım yaptığından nasıl bitcoin alabileceğini biliyordu. 1000 euro’yu bitcoin’e çevirdi ve korsanların bildirdiği bir cüzdana aktardı. Akabinde da “Tamam, gönderdim. Lütfen evraklarımı nasıl kurtaracağımı bildirin bana” diye bir bildiri yazdı.

Gelen yanıtı gördüğünde ise beyninden vurulmuşa döndü: “Üzgünüm 1000 euro’yu kabul edemiyoruz. 10 bin euro ödemek zorundasınız. Borcunuz 9000 euro siz ödemeyi yaptıktan sonra şifre çözme evrakını size göndereceğim.”

Saldırganlar Matthew’yu kandırmıştı. Taviz veriyormuş numarasıyla Matthew’nun ön ödeme yapmasını sağlamış ve anahtarı vermemişlerdi. Matthew o kadar bozulmuştu ki pazarlığın “Rakibine sıkıntı durumda olduğunu belirli etme” biçimindeki bir numaralı kuralını bile unutmuştu. Umutsuzca yalvarmaya başladı: “1000 euro son teklif demiştiniz ve anlaşmıştık.”

Ama saldırganın geri adım atmaya niyeti yoktu. “Bunu kabul edemem” diye karşılık verdi ve ekledi: “Üzgünüm, bu benim meselem değil.”

ŞİFREYİ KIRABİLECEK TEK KİŞİ VARDI

Matthew bir mucize bulma umuduyla interneti taramaya başladı. BleepingComputer (Bip’li Bilgisayar) sitesinin forum kısmında VashSorena isimli fidye yazılımının kurbanlarının yazışmalarına denk geldi. Bu yazılım da belgelerin sonlarına “.encrypt” halinde bir uzantı ekliyordu.

Matthew foruma, “Bugün bu fidye yazılımı bilgisayarıma bulaştı, fidyeyi ödedim ancak saldırgan yardımcı olmadı” diye yazdı.

Diğer kullanıcılar Matthew’ya fidye notunu ve şifrelenmiş belgelerden birkaçını ID Ransomware isimli siteye yüklemesini ve sitenin demonslay335 kullanıcı ismiyle bilinen kurucusuyla temasa geçmesini tavsiye etti. “Şifreyi kırabilecek biri varsa o da demonslay335’tir” diyorlardı.

Bunun üzerine Matthew demonslay335’e, “Selam, çalıştığım okulun öğrencilerin ilerlemesini kaydettiği sunucum akına uğradı ve şifrelendi. Lütfen, bana yardım edebilir misin? Büsbütün sıkışmış durumdayım” diye bildiri gönderdi.

George Orwell’in yıllar önce dediği üzere, “Medeniyetin tarihi büyük ölçüde silahların tarihidir”. Günümüzde dijital silahlar dünyayı yine şekillendiriyor, en büyük tehdit de fidye yazılımları olacak üzere görünüyor. Fidye yazılımları kimlik hırsızlığı üzere siber kabahatlere kıyasla çok daha verimli ve kârlı. Hayatımızın her alanında internete olan bağımlılığımız arttıkça da hatalıların para kazanıp kaos yaratma olasılıklarının sonları sonsuzluğa gerçek genişliyor. Fidye yazılımı akınlarının ne kadar sık gerçekleştiği ve nasıl tesirler yarattığı tam olarak bilinmiyor zira birçok kurban başlarına geleni yetkililere bildirmekten ya da kamuoyuyla paylaşmaktan kaçınıyor. Fakat Bad Rabbit, LockerGoga üzere tuhaf isimleri olan yazılımlar son yıllarda milyonlarca şirketi, devlet kurumunu, kâr maksadı gütmeyen kuruluşu ve kişiyi felç etti. Toplumun bilgisayarlara olan bağımlılığını sömüren korsanlar, sistemleri tekrar devreye almak için binlerce, milyonlarca hatta on milyonlarca dolar istiyor. Pandemi sırasında siber şantaj dalgası hastaneleri ve öbür hayati kurumları çalışamaz hale getirdi, şirketleri ve okulları kapanmaya zorladı, insanların akrabaları, dostları ve iş arkadaşlarıyla olan arasının daha da açılmasına neden oldu.

ZORBALIKLA, YOKSULLUKLA, KANSERLE GAYRETLE GEÇEN BİR ÇOCUKLUK…

İnternet aleminde demonslay335 (iblis avcısı) ismiyle tanınan Michael Gillespie o sırada Londra’dan kilometrelerce uzakta, Illinois kentinde yaşıyor, meskeninin üst katındaki mütevazı ofisinden fidye yazılımlarına karşı savaşıyordu. Sekiz kedileri, iki köpekleri ve bir tavşanları vardı ve Gillespie’nin ofisini “kedi odası” diye adlandırıyorlardı. Masanın üzerindeki dizüstü bilgisayar, duvardaki rafa yerleştirilmiş bir ekran, eskimiş bir kanepe ve en sevdiği sinema olan Aslan Kral’ın afişi dışında oda boştu.

O günlerde 29 yaşına girmek üzere olan Gillespie epey güç bir hayat yaşamıştı. Okulda zorbalığa uğramış, yoksullukla ve kanserle çaba etmişti. Çocukluk yıllarında o kadar yoksuldular ki vakit zaman arkadaşlarının ya da akrabalarının yanına taşınmak zorunda kaldığı oluyordu. 16 yaşındayken bilgisayar tamir hizmeti veren Nerds on Call’da (Nöbetçi İnekler) çalışmaya başladı. 10 yıldan fazla çalıştığı bu şirkette kendi kendine fidye yazılımlarını kırmayı öğrendi.

Zamanla dünyanın en uygun fidye yazılım kırıcılarından biri haline geldi. Yarattığı şifre kırma araçları, dünyanın dört bir yanında en az 1 milyon kişi tarafından indirildi. Karşılığında bir kuruş bile almayan Gillespie, yardım ettiği şahısları toplamda yüz milyonlarca dolar kıymetinde fidye ödemekten kurtardı. Bilinen 1000’den fazla fidye yazılımı ortasında 100’den fazlasını kırmayı başardı.

Gillespie için bugün internet bir tıp sığınak, bir yuva. Uyanık olduğu saatlerin neredeyse tamamını çevrimiçi geçiren Gillespie’nin Illinois’deki akrabaları ve arkadaşları demonslay335’in internet alemindeki nüfuzundan habersiz.

FİDYE YAZILIM AVI TİMİ’NİN EN TANINMIŞ ÜYESİ

Becerikliliği ve yorulmazlığıyla tanınan Gillespie, Fidye Yazılım Avı Timi’nin en tanınmış üyesi. Yalnızca davetle iştirak sağlanan bu seçkin takım, hayatını fidye yazılımlarını kırmaya adamış bir küme teknoloji dâhisinden oluşuyor. Dünyanın dört bir yanına yayılmış bu gönüllüler, fidye ödemeye gücü yetmeyen ya da prensip gereği ödeme yapmayı reddeden kurbanların yardımına koşuyor. Takım üyeleri toplamda 300’den fazla fidye yazılımını kırmayı başardı, aşağı üst 4 milyon kadar kurbana gelen milyarlarca dolar kıymetindeki fidye talebini boşa çıkardı.

Fidye Yazılım Avı Timi’nin üyelerinin birden fazla tıpkı Gillespie üzere yokluktan muvaffakiyete ulaşmış şahıslar. Teknik eğitimleri yok, her şeyi kendi kendilerine öğrenmişler. Kimilerinin geçmişte yaşadığı yokluklar ve istismarlar, zorbalara karşı harekete geçmelerinde tesirli olmuş. Hücumlarını savuşturdukları hatalıların misilleme yapma ihtimaline karşı takma isimlerin ya da çevrimiçi kimliklerin gerisine saklanıyorlar. Birçok birbirini hiç görmemiş bile.

Ancak hem davalarına hem de birbirlerine olan bağlılıkları çok güçlü. Örneğin biri ekonomik manada sıkıntı günler yaşadığında, grup arkadaşlarından biri kesinlikle devreye giriyor, bağış ya da iş teklifi yoluyla zora düşeni kurtarıyor. ABD, İngiltere, Almanya, İspanya, İtalya, Macaristan ve Hollanda üzere çeşitli ülkelere dağılmış durumdalar lakin hepsinin asıl yaşadığı yer internet alemi.

“HEPİMİZ BİR BİÇİMDE DIŞLANMIŞ İNSANLARIZ”

Ekip üyelerinin maaşlı işleri de var: birçok siber güvenlik alanında çalışıyor. Fidye yazılımlarını kırmayı ise bir tutku olarak görüyorlar. Birçoğu, bir sorunu çözmeye odaklanınca dünyayı unutup gece gündüz aralıksız bunun için çalışıyor. Varlıklı olmak umurlarında değil; o denli olsaydı var olan fidye yazılımlarını kırmak yerine yeni yazılımlar tasarlamakla uğraşırlardı.

Ekibin üyelerinden Fabian Wosar, “Bence hepimiz bir halde dışlanmış insanlarız” kelamlarıyla özetledi kümenin genelini. Almanya’da doğup büyüyen, şu an ise Londra’nın dış mahallelerinden birinde yaşayan Wosar’ın lise diploması dahi yok. Gillespie’nin akıl hocası ve Fidye Yazılım Avı Timi’nin en kıymetli şifre kırıcısı olan Wosar, “Hepimizin olağan dünyadan izole olmamıza neden olan lakin fidye yazılımlarını izleyip insanlara yardım ederken işimize yarayan tuhaflıkları var. Tam da bu nedenle birlikte çok âlâ çalışabiliyoruz. İçinizde tutku ve kendinize gerekli marifetleri öğretme azmi olduğu surece diplomaya gereksiniminiz yok” diye konuştu.

Elbette takım bütün yazılımları kıramıyor. Çünkü yanlışsız halde kodlanmış bir fidye yazılımının kırılması imkânsız. Lakin kimi saldırganların beceriksizlikleri, kestirmeden gitmek istemeleri veya rakiplerini küçümsemeleri sonucu ortaya zayıf noktalar çıkıyor. Fidye Yazılım Avı Timi de tam olarak bu noktalardan vuruyor.

Ekip üyeleri gitgide büyümekte olan bir boşluğu dolduruyor. Çünkü resmi makamlar fidye yazılımı akınlarına karşı şimdi gereğince tedbir alabilmiş değil. Örneğin FBI kurbanlara fidyeyi ödememelerini tavsiye etmenin dışında bir alternatif sunamıyor. Korsanların kıymetli bir kısmı Rusya, İran, Kuzey Kore üzere ülkelerde faaliyet gösteriyor. Bu ülkelerin hükümetleri korsanları durdurmak için pek bir şey yapmıyor, üstüne üstlük Batı’ya karşı yürütülen isimsiz sanal savaşın bir modülü kabul edilen bu akınlardan istihbarat elde etmek hedefiyle faydalandıkları hatta ödenen fidyelerden hisse aldıkları dahi söyleniyor. Fidye atakları yaygınlaştıkça yararları katlanan sigortacılar ve siber güvenlik şirketleri üzere özel dal temsilcileri de kesin tahliller üretme konusunda gönülsüz davranıyor.

KORSANLARLA SAVAŞANLAR, KORSANLARA ÇOK BENZİYOR

Ahlaki açıdan iki zıt uçta yer alan fidye yazılımı korsanları ile avcılar aslında birebir dünyanın insanları. Kedi fare oyununu bir kenara bıraktıkları vakitlerde korsanlar, avcılarla hem hakaretler hem de övgülerle dolu sohbetler ediyor. Fidye yazılımına duydukları hayranlık da hünerleri de ortak. 

Korsanların kodlarını kırma konusundaki maharetini tekraren sergilemiş olan Wosar, sık sık hem iltifatların hem de hakaretlerin amacı oluyor. 

Avcılar ve korsanların karakter özellikleri de benzeri. Birçoğu işi kendi kendine öğrenmiş işsiz teknoloji meczupları. Toplumsal nezaket açısından biraz zayıflar. Birebir oyunları, birebir sineması seviyorlar. Örneğin HakunaMatata isimli fidye yazılımının ismi, Gillespie’nin en sevdiği sinema olan Aslan Kral’ın Oscar’a aday gösterilmiş ünlü müziğinden geliyor. Tıpkı Fidye Yazılım Avı Timi’nin üyeleri üzere korsanların da birden fazla genç erkekler. Dünyanın dört bir yanına yayılmış haldeler lakin birden fazla Doğu Avrupa ülkelerinde yaşıyor.

Bazı korsanlar için benimsedikleri ahlaki pahalar birer gurur kaynağı. Örneğin fidye ödendikten sonra kelamlarını tutup şifreleri çabucak kaldırıyorlar. Çünkü kelamlarını tutmayıp muhataplarını kandırdıkları takdirde gelecekteki kurbanlarından para alma ihtimallerinin azalacağını biliyorlar. Neden bu türlü taarruzlar düzenledikleri sorulduğunda farklı münasebetler sunuyorlar. Bu münasebetlerin ortak noktası çoklukla “Mesele para değil” oluyor. Lakin bu açıklamanın doğruluğu kuşkulu. Esasen Fidye Yazılım Avı Timi ile korsanlar ortasındaki en büyük fark da ikinci gruptakilerin paragözlüğü.

Fabian Wosar, son yıllarda o kadar çok fidye yazılımı kırdı ki korsanları püskürtmek hayatının rutinlerinden biri haline geldi. Bu durum bir noktada korsanların da ilgisini çekmeye başladı. Örneğin 2016 sonlarında yaygınlaşan NMoreira isimli yazılımını kodlayan kişi Wosar’a bir bildiri bırakmayı ihmal etmemişti. “FWosar, adamsın” diye başlayan bildiri şöyle devam ediyordu: “Yaptığı işi anlayan herifler bana ilham veriyor. Umarım bunu da kırabilirsin, ukalalık olsun diye söylemiyorum, hakikaten ilham vericisin. Kucaklıyorum seni.” Olağan tüm bildiriler bu kadar olumlu değildi. Örneğin bir saldırgan, “Wosar, lütfen, beni kırma! Bu son teşebbüsüm. Şayet bu versiyonu da kırarsan uyuşturucuya başlayacağım” diye yalvarıyordu. (Bu kelamlar pek tesirli olmadı. Fidye yazılımını kıran Wosar, üzerine bir de bir şifre kırıcı tasarladı.) En sık karşılaştığı iletiler ise hakaret içerikli olanlardı. Örneğin bir yazılımın satırlar dolusu harf ve sayıdan oluşan kodlarının ortasında “Hadi beni yine kırsana Wosar! Bakalım cüretin var mıymış” kelamları dikkat çekiyordu. Wosar, 2019 yılında BBC’ye yaptığı açıklamada fark edilmenin kendisini mutlu ettiğini belirterek, “Benim o iletisi göreceğimi bildikleri için yazma zahmetine girmişler. Çalışmalarımızın birtakım pis siber kabahat çetelerini üzdüğünü bilmek çok âlâ bir motivasyon kaynağı” tabirlerini kullanmıştı.

İLK BAKIŞTA “KIRILAMAZ” DEDİ FAKAT YANLIŞINI KISA MÜDDETTE ANLADI

Gillespie, 2020 yılının Kasım ayının sonlarında bir salı günü ofisinde çalışıyordu. Kurbanlardan gelen talepler ortasında öylesine kaybolmuştu ki Matthew’un gönderdiği belgeye göz gezdirecek vakti bile sıkıntı bulmuştu.

Hızlı bir incelemeden sonra okula düzenlenen akında Ouroboros ismi verilen ve kırılması mümkün olmayan bir fidye yazılımının altıncı versiyonunun kullanıldığını anladı.

Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.

Antik bir sembol olan Ouroboros, kendi kuyruğunu yiyen bir yılanı tasvir ediyor.

Gillespie bu keşfin akabinde Matthew’ya biraz da hudutla, “Ouroboros v6, kusurlarının tamir edildiği Ekim 2019’dan bu yana kırılamayan bir yazılım. Bunu ID Ransomware’den çoktan öğrenmiş olman lazım” diye bir e-posta gönderdi.

Ancak Matthew’nun geri adım atmaya niyeti yoktu. Gillespie’nin kendi internet sitesinde yazılım, VashSorena olarak isimlendiriliyor gerçek şartlar altında kırılabileceği belirtiliyordu. Matthew, “Aynı yazılımın iki farklı isminden mi bahsediyoruz yoksa şifreyi kırmak için bir bahtım olabilir mi?” diye sordu.

Dosya ismindeki karakterleri ve öbür işaretleri yine inceleyen Gillespie, çabukla karar verdiğini ve çok anlaşılabilir bir yanılgı yaptığını fark etti. Hem Ouroboros’un hem de VashSorena’nın İran kökenli korsanlar tarafından geliştirildiğine inanılıyordu. İki yazılım da belgeleri birebir formda şifreliyordu. Bunu durumu idrak edince işe koyuldu.

KORSANLARIN AÇIĞINI YAKALAMIŞ LAKİN AÇIKLAMAMIŞTI

VashSorena’yı tasarlayan yazılımcılar bir noktada kestirmeden gitmek istedikleri için yazılımın bir zayıflığı bulunuyordu. Fidyenin ödenip ödenmediğini takip etmek isteyen yazılımcılar, her kurbana özel bir kimlik numarası ataması yapıyordu. Aslına bakılırsa bu fidye yazılımında standart bir uygulamaydı. Bir öbür standart uygulama ise her kurbana belgeleri üzerindeki şifreyi kaldıracak özel bir anahtar gönderilmesiydi. VashSorena’daki farklılık kimlik numarası ise anahtarın birbiriyle ilişkili olmasıydı. Bu sayede Gillespie bir açık bulabileceğine inanıyordu.

Gillespie, VashSorena’nın birinci versiyonunu Haziran 2020’de kırmayı başarmış lakin birden fazla vakit yaptığı üzere bu muvaffakiyetini pek dillendirmek istememişti. Çünkü saldırganların durumu öğrendiklerinde açığı kapatmaları işten bile değildi. Korsanlara yazılımlarını mükemmelleştirmelerinde yardımcı olmak, Av Timi’nin yapmak isteyeceği son şeydi. Gillespie kendisine BleepingComputer üzerinden ulaşan en az 40 kurbanı VashSorena’dan kurtarmış lakin nasıl bir tahlil yolu geliştirdiğine dair bir paylaşım yapmamıştı. Fazla dikkat çekmemek üzerine şurası bu yaklaşım işe yaramış üzere görünüyordu. Saldırganlar VashSorena’ya beş kere güncelleme yapmış lakin Gillespie’nin bulduğu boşluğu kapatmamıştı.

Matthew’nun kendisine gönderdiği fidye notundaki kimlik numarasını kullanan Gillespie, yazılımı kırıp evrakların üzerindeki şifreyi kaldıracak anahtarı üretmeyi başardı. Akabinde Matthew’nun bilgilerini kurtarmak için kullanabileceği bir şifre kaldırma programı yazdı. Bir de anahtar üretti ve “Bir daha bakar mısın? Nitekim de VashSorena’ymış ve senin anahtarını kırabildim” iletisi eşliğinde Matthew’ya gönderdi.

“İNANILMAZ! İŞE YARIYOR!”

Matthew bildirisi aldığında akşamın saatleriydi. Gillespie’nin yönergelerini uygulayan Matthew, eski sunucuya erişip öğrencilerin fotoğraflarını ve başka belgeleri kurtarmayı başardı.

Gillespie’ye, “İnanılmaz! İşe yarıyor” diye karşılık yazdı ve ekledi: “Sana ne kadar teşekkür etsem az. Nasıl yaptın bunu? Okuldaki öğretmenler ve öğrenciler sana öylesine minnettar olacaklar ki…”

Ancak Matthew’nun işi kendi belgelerini kurtarmakla bitmedi. Google’a bir şikâyet müracaatında bulundu ve fidye yazılımı saldırganlarının Gmail kullanmasına nasıl müsaade verildiğini sordu. (Yanıt alamadı.) Okul yetkilileri ise sonlu bütçelerine rağmen siber güvenlik yatırımlarını artırmaları gerektiğini anladı. Matthew’un yönlendirmesiyle sunucudaki belgelerin yedekleneceği bir aygıt satın alındı.

Matthew, korsanlara kaptırdığı 1000 euro’yu geri almak için de bir plan yaptı. Anahtara hala gereksinimi varmış üzere davranarak pazarlığı sürdürdü. Korsanlara, “Size yine güvenebilmenin tek yolu bitcoin’lerimi bana geri göndermeniz. Akabinde belgelerimi kurtarmak için size 3000 euro göndereceğim” diye ileti yolladı.

Ancak korsanların bunu kabul etmeye niyeti yoktu. “Üzgünüm” dedi e-postayı yazan kişi son bildirisinde, “Bana bu teklifi 10 yıl boyunca sunsanız bile reddedeceğim”.

Fidye yazılımı atakları, insan kaçırmanın dijital çağ için güncellenmiş hali olarak tanım ediliyor. Oltalama e-postaları üzere teknikler kullanan korsanlar bilgisayarlara sızıyor. Bir sefer girdikten sonra da fidye yazılımını aktive edip bilgisayarları rehin alıyor ve istedikleri kripto para ödenmedikçe geri adım atmıyorlar. Fidye yazılımının temel ögelerinden biri olan kriptografi, günümüzde internette güvenliğin bel kemiği haline gelmiş durumda. Lakin ne yazık ki devletlerin, bölümün ve akademinin geliştirdiği legal kriptografi yazılımları, siber hatalılar tarafından makûs maksatlar için de kullanılıyor. Fidye yazılımı, şifrelemeyi silah haline getiriyor. Bu yazılımlar ortaya çıkmadan evvel, korsanların akınlarını paraya çevirebilmeleri için büyük emek sarf etmeleri gerekiyordu. Çaldıkları kimlik ya da kredi kartı bilgilerini satmak için bir alıcı bulmak zorundaydılar. Bunun olup olamayacağı da şüpheliydi. Fidye yazılımları, kurbanların bilgisayarlarına olan bağımlılıklarını paraya çevirerek korsanlığı kârlı bir iş haline getirdi. Hata teoride de pratikte de çok kolay olduğundan, dark web üzerinden bir fidye yazılım paketi alan herkes şantaj yapabilir hale geldi. Mayıs 2021’de Colonial Boru Sınırı’na düzenlenen fidye yazılımı saldırısı sonucu, ABD’nin doğu yakasında çok önemli akaryakıt kasveti yaşanınca, Washington idaresi fidye yazılımının değer düzeyini terörle eşitledi. FBI ortalarında Fidye Yazılımı Av Timi’nin de bulunduğu özel araştırmacılarla iş birliğini artırdı. Lakin günümüzde saldırganlar da eskiye kıyasla daha mahir. Kriptografilerini geliştirip gayelerini daha kurnazca seçiyorlar. Her iki taraf da el yükseltirken taarruzların amacı olan iş yerleri, okullar, hastaneler ve devlet kurumlarının Fidye Yazılımı Av Timi’ne duyduğu gereksinim da günden güne artıyor.

The Guardian’da yayımlanan “Ransomware hunters: the self-taught tech geniuses fighting cybercrime” başlıklı haberden derlenmiştir.

Akacan The Mall
Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.