Sıfır gün açığı inanılmaz derecede tehlikelidir, çünkü yalnızca bilgisayar korsanları bunların varlığından haberdardır. İstismarlar yıllarca fark edilmeyebilir ve çalılan veriler genellikle büyük meblağlar karşılığında karaborsada satılır.
Peki sıfır gün güvenlik açığı tam olarak nedir?
Sıfır Gün Güvenlik Açığı Nedir?
Sıfır gün güvenlik açığı yani zero-day vulnerability, kamuya açıklanmış ancak geliştiriciler tarafından henüz yamalanmamış ve sonuç olarak istismar edilebilecek bir güvenlik açığıdır. Yani bilgisayar korsanlarının kötü amaçlı yazılımı bir sisteme sızmak ve dağıtmak için kullandığı yöntemi ifade eder.
Sıfır gün saldırısı, bilinmeyen veya yeni keşfedilen bir yazılım/donanım güvenlik açığı olan sıfır gün güvenlik açığından yararlanmayı başaran bir siber saldırıdır.
Bu tür bir siber saldırı, güvenlik açığının farkına varıldıktan çok kısa bir zaman sonra gerçekleşir. Bu yüzden geliştiricilere bu güvenlik açığıyla ilişkili potansiyel riskleri ortadan kaldırmak veya azaltmak için yeterli zaman verilmez. Sıfır gün saldırılarında yazılım satıcıları proaktif değil reaktiftir. Bu nedenle, yamalar henüz yayınlanmadığından, bilgisayar korsanları hamlelerini yapabilir.
Sıfırıncı Gün Saldırısı Nasıl Çalışır?
Sıfırıncı gün saldırısı, bir yazılım geliştiricisinin kötü niyetli bir bilgisayar korsanı tarafından fark edilen ve istismar edilen savunmasız kodu serbest bırakmasıyla başlar. Bu durumda saldırı ya başarılı olur ya da geliştirici, yayılmasını sınırlamak için bir yama oluşturur. Eğer saldırı başarılı olursa, muhtemelen bilgisayar korsanının kimlik veya bilgi hırsızlığı yapmasıyla sonuçlanır. Eğer uygun bir yama yazılır ve uygulanırsa, istismar artık sıfırıncı gün saldırısı olarak anılmaz.
Sıfırıncı gün istismarının zaman çizelgesi, güvenlik yamasına kadar yedi ayrı aşamaya bölünmüştür. Bunlar aşağıdaki gibidir:
1. Aşama
Güvenlik açığı ortaya çıkar ve bir geliştirici, farkında olmadan savunmasız kod içeren bir yazılım oluşturur.
2. Aşama
İstismar yayınlanır ve bilgisayar korsanı, geliştirici var olduğunu fark etmeden, düzeltemeden veya yama yapmadan önce güvenlik açığını keşfeder. Bilgisayar korsanı daha sonra güvenlik açığı hala açıkken bir istismar kodu yazar ve dağıtır.
3. Aşama
Güvenlik açığı keşfedilir ve satıcı güvenlik açığının farkına varır, ancak kullanılabilir bir yama yoktur.
4. Aşama
Güvenlik açığı açıklanır ve satıcı veya güvenlik uzmanları, kullanıcılara ve bilgisayar korsanlarına varlığını bildiren güvenlik açığını herkese duyurur.
5. Aşama
Bilgisayar korsanları, güvenlik açığını hedefleyen sıfırıncı gün kötü amaçlı yazılımları oluşturduysa, virüsten koruma satıcıları imzayı hızla tanımlayabilir ve buna karşı koruma sağlayabilir. Ancak, güvenlik açığından yararlanmanın başka yolları varsa, sistemler açıkta kalabilir.
6. Aşama
Satıcı, güvenlik açığını kapatmak için genel bir düzeltme yayınlar. Bunun ne kadar süreceği, karmaşıklığa ve geliştirme sürecinde ne kadar önceliğe sahip olduğuna bağlıdır.
7. Aşama
Bir güvenlik yamasının yayınlanması, kullanıcıların bunu dağıtması zaman alabileceğinden anında bir düzeltme sağlamaz. Bu nedenle işletmeler ve bireysel kullanıcılar, otomatik yazılım güncellemelerini açmalı ve güncelleme bildirimlerini dikkate almalıdır.
Sistemler, 1. aşamadan 7. aşamaya kadar tüm süreç boyunca saldırılara karşı savunmasızdır, ancak sıfır gün saldırısı yalnızca 2. ve 4. aşamalar arasında gerçekleşebilir. Güvenlik açığı korumasız kalırsa daha fazla saldırı gerçekleşebilir. Sıfırıcı gün saldırıları, nadiren önemli hasarı önleyecek kadar hızlı bir şekilde keşfedilir. Bir geliştiricinin güvenlik açığının var olduğunu fark etmesi genellikle günler, aylar ve hatta yıllar alabilir.
Sıfır Gün Saldırısını Nasıl Tespit Edersiniz?
Sıfır gün saldırılarını tanım olarak tespit etmek çok zor olsa da, birkaç strateji ile bu güvenlik tehditlerini belirleyebilirsiniz:
İstatistik tabanlı algılama, önceden tespit edilen istismarlardan veri toplamak ve güvenli sistem davranışı için bir temel oluşturmak için makine öğrenimini kullanır. Bu yöntemin etkinliği sınırlı olmasına ve yanlış pozitiflere/negatiflere maruz kalmasına rağmen, hibrit bir çözümde iyi sonuç verebilir.
İmza tabanlı algılama, tehditleri tararken referans olarak mevcut kötü amaçlı yazılım veri tabanlarını ve davranışlarını kullanır. Mevcut kötü amaçlı yazılımlar için imzaları analiz etmek ve oluşturmak için makine öğrenimini kullandıktan sonra, daha önce bilinmeyen güvenlik açıklarını veya saldırıları tespit etmek için imzaları kullanmak mümkündür.
Davranış tabanlı algılama, hedef sistemle etkileşimlerine dayalı olarak kötü amaçlı yazılımları algılar. Çözüm, gelen dosyaların koduna bakmak yerine, kötü niyetli saldırının sonucu olup olmadığını tahmin etmek için mevcut yazılımla olan etkileşimlerini analiz eder.
Hibrit algılama, zayıf yönlerini azaltırken güçlü yönlerinden yararlanmak için yukarıdaki üç tekniği birleştirir.
Sıfır Gün Açığı Saldırıları Örnekleri
Sıfır gün açığı ile ilgili örnekleri aşağıda bulabilirsiniz:
1. LinkedIn
Haziran 2021’de LinkedIn, 700 milyon kullanıcıyı (LinkedIn’in kullanıcı tabanının %90’ından fazlasını) etkileyen bir sıfır gün saldırısından etkilendiğini bildirdi. Hacker “GOD User TomLiner”, LinkedIn kullanıcılarının verilerinin gerçek ve güncel olduğunu örneklerle satışa sundu. Verilerin kaynağının ne olduğu hala belirsiz.
2. Facebook
2019’da, 540 milyon Facebook kullanıcısı hakkında ayrıntılı bilgiler, sıfır gün istismarından sonra aylarca herkesin görebileceği şekilde bırakıldı. Facebook o sırada, şirketin daha sonra yamaladığı bir güvenlik açığı nedeniyle verilerin kazındığını doğruladı. Ancak Nisan 2021’de aynı güvenlik açığının 533 milyon Facebook kullanıcısının bilgilerinin (tüm hesapların yaklaşık %20’sinin) sızdırılmasına yol açtığı ortaya çıktı.
Herkese açık veri tabanında, Facebook kullanıcılarının telefon numaraları, Facebook kimlikleri, tam adları, konumları, doğum tarihleri, biyografileri ve bazı durumlarda e-posta adresleri gibi kişisel bilgileri vardı. Facebook CEO’su Mark Zuckerberg’in kendi özel kimlik bilgilerinin bile bu süreçte sızdırıldığı bildirildi.
3. Microsoft
Yakın zamanda kamuoyuna duyurulan bir diğer sıfır gün saldırısı, Microsoft’a yöneliktir. Operasyon Çinli hacker grubu Hafnium’a atfedildi ve Microsoft’un Exchange Server 2013, Exchange Server 2016 ve Exchange Server 2019’u etkiledi.
4. Sony
Potansiyel olarak en ünlü sıfır gün saldırısı Sony ağını çökertti ve hassas verilerinin dosya paylaşım sitelerinde yayınlanmasına yol açtı. 2014’ün sonlarında meydana gelen saldırı, yaklaşmakta olan filmler, şirketin iş planları ve üst düzey yöneticilerin kişisel e-posta adresleri hakkında bilgi sızıntısına sebep oldu.
5. Zoom
2020 yılında popüler video konferans platformunda bir güvenlik açığı bulundu. Bu açık bir bilgisayar korsanının, Windows’un daha eski bir sürümünü çalıştırıyorsa, kullanıcının bilgisayarına uzaktan erişmesine izin verdi. Bu saldırıda eğer kurban bir yöneticiyse, bilgisayar korsanı tüm dosyalara erişebilir ve temel olarak cihazı tamamen ele geçirebilirdi.
İşletmenizi Sıfır Gün Saldırılarından Nasıl Korursunuz?
Sıfırıncı gün güvenlik açıkları, ciddi güvenlik riskleri barındırır ve işletmenizi sıfırıncı gün saldırılarına maruz bırakır. Bu da bilgisayarınıza veya kişisel verilerinize olası zararlar verebilir. Her ikisini de güvende tutmak için proaktif ve reaktif güvenlik önlemleri almanız tavsiye edilir.
1. Yama
Yama, olası açıkları önlemek için önerilen ilk adımdır. Çoğu yazılım satıcısı bir güvenlik açığını düzeltmek için hızlı çalışır, bu nedenle sıfır gün güvenlik açığı duyurulduğunda bir çözüm olup olmadığını kontrol ettiğinizden emin olmanız gerekir.
Yazılım yamalarını kullanıma sunulur sunulmaz uygulamak, sıfır gün saldırılarını önlemenize yardımcı olabilir.
2. Proaktif ve Kapsamlı Güvenlik Yazılımı
İzinsiz giriş önleme ve algılama sistemleri gibi geleneksel siber güvenlik araçları, imzalarını bilinen sorunlar listesiyle karşılaştırarak gelen siber tehditleri algılar. Ancak, güvenlik açığı henüz analiz edilmediğinden sıfır gün saldırılarının imzası yoktur. Bu nedenle, sıfır gün saldırılarını standart yöntemlerle tespit etmek çok zordur. Bu nedenle işletmenizin derinlemesine bir siber güvenlik stratejisi yaklaşımına ihtiyacı vardır. Ancak daha önce de belirttiğimiz gibi sıfır gün saldırısının kurumsal ağınızı ele geçirmesini önlemenin en etkili yollarından biri, yamaları ilgili geliştiricileri tarafından yayınlanır yayınlanmaz uygulamaktır.
3. Kurtarma Stratejileri
Yukarıdaki tüm tavsiyelere uysanız bile, sizin veya bir işletmenin sıfırıncı gün güvenlik açığı tehdidini tamamen ortadan kaldırması pek olası değildir. Bu nedenle bir felaket kurtarma stratejisine sahip olmak çok önemlidir. Talihsiz bir güvenlik ihlali durumunda verileriniz güvende kalır ve işlemlerinize her zamanki gibi devam edebilirsiniz.
4. Sürekli Eğitim
Sıfır gün saldırılarının çoğu insan hatasından kaynaklanır. Bu nedenle, çevrimiçi ortamda güvenliğinizi korumanıza ve işletmenizi sıfırıncı gün güvenlik açıklarından ve diğer dijital tehditlerden korumanıza yardımcı olacak güvenlik alışkanlıkları, ipuçları ve en iyi uygulamalar konusunda kendinizi her zaman güncel tutmanız gerekir.
5. Yeni Nesil Güvenlik Duvarı
Geleneksel antivirüs yazılımı, işletmeleri sıfırıncı gün tehditlerinden etkili bir şekilde koruyamaz. Bunun yerine, işletmelerin bilinmeyen sıfırıncı gün kötü amaçlı yazılımlarını engelleyen çözümler araması gerekir. Bu çözümler sadece kötü amaçlı yazılımları engellemekle kalmaz, aynı zamanda tehdit ortamıyla birlikte gelişme esnekliği sağlar ve yeni tehditler ortaya çıktıkça kuruluşların ağlarını güvende tutar.
Özetle diyebiliriz ki, işletmenizi sıfırıncı gün istismarlarına karşı korumak, verilerinizin bütünlüğü için çok önemlidir. Bu tür tehditler, genellikle standart kara listelerde bulunamadıkları için özellikle tehlikelidir. Bu nedenle, işletmenizin uygun bir önleme stratejisine sahip olması gerekir.
Sıfır Gün Saldırısı Hakkında En Çok Sorulan Sorular
1. Sıfırıncı gün saldırısı ne anlama gelir?
Sıfırıncı gün saldırısı, hedef güvenlik açığının varlığından haberdar olmadan önce gerçekleşen bir tehdittir.
2. Sıfır gün saldırısı ne kadar yaygındır?
Sıfır gün saldırısı çok yaygındır. Yazılım insanlar tarafından yazılır ve insanlar yanılabilir. Bazı kod yapılarının zayıf noktaları ararken analiz edilmesi diğerlerinden daha zordur ve otomatik kontrol araçları bile bazen onları bulmakta sorun yaşar.
Araştırma, kazara veya kötü niyetli kötüye kullanım yoluyla, koddaki bu zayıf noktalardan biri keşfedildiğinde, buna yazılımda “güvenlik açığı” denir. Güvenlik açıkları, yazılım olduğu sürece var olmuştur. Bu sadece onları ilk kimin bulduğu ve onlar hakkında ne yaptıkları ile ilgilidir.
3. Sıfır gün saldırısının tipik hedefleri nelerdir?
Sıfır gün saldırısı istismarlarıyla uğraşan türden bilgisayar korsanları genellikle ortalığı karıştırmazlar. Aşağıdakiler gibi daha büyük ve yüksek değerli hedeflerin peşinden giderler:
- Devlet kurumları
- Büyük işletmeler ve kuruluşlar
- Gizli iş verileri gibi yüksek değerli bilgilere erişimi olan kişiler
- İşletim sistemleri veya tarayıcılar gibi çok sayıda kullanıcıya sahip yazılımlar
- Botnet’lerde kullanım için büyük bireysel kullanıcı grupları
- IoT cihazları ve ilgili ürün yazılımı dahil donanım
- Siyasi hedefler veya ulusal güvenlik tehditleri
Bilgisayar korsanları genellikle belirli bireysel kullanıcıların peşine düşmese de bu, ortalama bir kişinin sıfır gün saldırılarından etkilenmeyeceği anlamına gelmez. Hedefsiz saldırılar mümkün olduğunca çok kullanıcıyı vurmayı amaçlar ve bu durumda kişisel verileriniz bir sonraki kişininki kadar değerlidir. Bu da tehlikelerin hala çok önemli olduğu anlamına gelir.
4. Sıfırıncı gün saldırıları önlenebilir mi?
Evet önlenebilir. İşletmeler sıfır gün saldırı tehdidine karşı her zaman bir stratejisi olması gerekir.